Domande con tag 'web-application'

1
risposta

Quali sono i modi più comuni per progettare il processo di verifica dei token di accesso tra risorsa e server di autenticazione utilizzando OAUTH 2.0?

Sto provando a creare un'applicazione web suddivisa in un gruppo di micro servizi e ogni micro servizio è un server di risorse. Ho anche un server di autenticazione separato. Mi chiedo quale dei seguenti approcci sia migliore o se pensi di av...
posta 16.10.2015 - 22:29
1
risposta

Tweaks relativi all'esecuzione di javascript nel browser

Supponiamo che un filtro convalidi l'url, ma non il protocollo. In tal caso, posso inserire il campo XSS con il seguente payload javascript://%0D%0Aalert(document.domain);//validurl.com Puoi incollare il payload sopra nella barra degli URL...
posta 12.10.2015 - 09:28
1
risposta

Utilizzo di RSA per l'autenticazione delle applicazioni Web

Ho una rete accessibile solo tramite server bastion su ssh. In esso, sto sviluppando applicazioni web che sono esposte agli utenti finali tramite GUI su websocket. Tutto il traffico in entrata e in uscita dalla rete passa attraverso un tunnel SS...
posta 24.07.2015 - 16:01
1
risposta

Utilizzare la chiave del server per firmare digitalmente il contenuto HTML consegnato?

C'è un modo per dimostrare che una pagina HTML è stata consegnata al mio browser e non è stata modificata in alcun modo, dopo che è stata consegnata su TLS? Ho bisogno di dimostrare l'integrità e l'autenticità del mittente, idealmente tramite...
posta 08.04.2015 - 04:37
1
risposta

Qual è l'XSS malintenzionato più breve possibile? [chiuso]

A volte inciampi su campi di input che non escono correttamente dall'input, ma che sembrano ancora troppo brevi per essere effettivamente usati per qualcosa di malevolo, almeno per qualcuno con la mia immaginazione limitata. Questo mi ha fatt...
posta 01.12.2014 - 20:38
1
risposta

Quali sono i rischi di proteggere un'API con una sola chiave (senza segreto)?

Comprendo che molte API sono protette utilizzando un API Key (possibilmente pubblico) per identificare chi sta effettuando la richiesta e un secret per hmac i parametri e determinare se il client è effettivamente chi sostiene di essere...
posta 08.10.2014 - 02:30
2
risposte

Il sito web non mi disconnette sempre - Preoccupazione della privacy o sto esagerando?

Ho fatto domanda per alcuni posti di lavoro e uso una certa pagina di carriera in qualche modo regolarmente. Ho iniziato a notare che non sempre viene disconnesso anche se faccio clic su "Esci" e vedo un messaggio che dice che ho eseguito corret...
posta 01.02.2014 - 19:24
1
risposta

Server Web pubblico e autenticazione Kerberos basata su AD

Vorrei utilizzare il protocollo SPNEGO / Kerberos su un server Web pubblico per specifici indirizzi IP remoti provenienti dalla intranet aziendale. Altri metodi di autenticazione sono utilizzati per altri indirizzi (login / password basato su mo...
posta 06.12.2012 - 01:13
1
risposta

È sicuro richiamare le funzioni PHP GD se non sai se il file è un'immagine valida?

C'è una funzione di caricamento delle immagini nell'applicazione web. Dopo che l'immagine è stata caricata, viene ridimensionata utilizzando le funzioni di PHP GD come imagecopyresampled e altre. Prima di invocare le funzioni di PHP GD no...
posta 26.09.2012 - 17:08
1
risposta

Problemi di autenticazione e archiviazione / websocket con token

La mia applicazione sta eseguendo un'autenticazione API che utilizza token anziché cookie. Questo mi porta a porre alcune domande: Qual è il modo più sicuro per archiviare il token? Usando token casuali si elimina il problema degli att...
posta 18.12.2013 - 00:10