Domande con tag 'web-application'

2
risposte

Se l'utente autenticato tenta di accedere a una risorsa limitata

Se un utente con autorizzazione per accedere alla risorsa A, prova ad accedere alla risorsa B (tentando di seguire un URL), quale delle seguenti è una soluzione migliore? Portali in una pagina di accesso negata standard, con un generico, "No...
posta 12.01.2016 - 17:21
2
risposte

Come proteggere le directory Web consentendo solo a me di accedervi

Ho una cartella web con alcuni file PHP che sono ospitati nel mio sito web (es. www.mysite.com/myfiles/my_file.php) che accedo e scambio informazioni usando ajax per una Web App che ho. La mia domanda è: come posso proteggerli contro l'access...
posta 25.07.2016 - 00:25
1
risposta

Questo codice è vulnerabile agli attacchi basati su DOM?

Stiamo sviluppando il codice per un'applicazione web di Banking. Vogliamo assicurarci che il codice sia sicuro e dal momento che stiamo usando un sacco di codice javascript, siamo piuttosto preoccupati se le possibilità di un attacco basato sul...
posta 11.11.2015 - 00:56
3
risposte

Non ti fidi del cliente?

Sono uno sviluppatore web, e ho cercato di imparare un po 'sulla sicurezza, e la cosa che sembra essere il principale principio è solo quella di fidarmi del client con il minimo possibile. È un'idea corretta? Per quali situazioni la regola non d...
posta 13.11.2015 - 00:26
1
risposta

Esecuzione del codice tramite RFI JSP?

Sto lavorando per migliorare la mia comprensione di RFI (Remote File Inclusion), specialmente nelle app JSP. Ho creato un'applicazione vulnerabile che importa una pagina JSP da un altro server per replicare il comportamento di una vera RFI....
posta 18.09.2015 - 10:54
1
risposta

Accedere ai documenti sulla rete interna con il sito Web in modo sicuro

Ho un grande archivio documenti di dati client sulla mia rete interna. Sono in procinto di coinvolgere alcuni sviluppatori per creare un sito Web per rendere questi dati disponibili esternamente ai miei clienti. Voglio anche che i miei clienti s...
posta 11.09.2015 - 11:01
1
risposta

Elenco dei parametri di richiesta GET sospetti? [chiuso]

Esiste un elenco pubblico di parametri di richiesta GET sospetti comuni? Voglio dire - SQLi, Command Injection, Admin access, ecc. Sono interessato a tale elenco, da utilizzare per rilevare sospette richieste GET in SIEM (arcsight) Qualsiasi...
posta 29.03.2015 - 12:22
1
risposta

Evita l'enumerazione forza bruta dei clienti in un'applicazione SaaS

Sono coinvolto nello sviluppo di un'applicazione SaaS. Ospitiamo l'applicazione per diversi clienti. Un cliente è un'azienda. Ogni cliente ottiene l'accesso all'istanza ospitata dell'applicazione tramite un URL https://example.com/customername...
posta 19.02.2015 - 08:53
2
risposte

Sicurezza dell'API basata su token su richieste ripetute di nome utente / password

Quali sono i vantaggi per la sicurezza rispetto a un modello di sicurezza dell'API basato su token rispetto all'invio del nome utente & password ogni volta? Il processo dell'approccio basato su token è: Invia una richiesta di "accesso...
posta 20.02.2017 - 11:26
3
risposte

Va bene usare solo username / password per proteggere una pagina di amministrazione per la moderazione di un sito web?

Esiste una pratica standard per proteggere una pagina di amministrazione per un'applicazione scritta in angular e nodejs o solo in generale? La pagina di amministrazione approverebbe / vieterebbe gli utenti e modererebbe i commenti. Dovrebbe...
posta 11.03.2015 - 20:26