Domande con tag 'web-application'

1
risposta

Alla ricerca di scappatoie di sicurezza e reporting (applicazioni web specifiche)

Le persone che ottengono un posto nella hall of fame o vengono riconosciute specificamente per attacchi come XSS, rce e alcuni tipi comuni di attacchi che possono essere rilevati da strumenti di scansione come owasp, Nessus, vega, ecc. Segnalano...
posta 23.01.2018 - 10:44
1
risposta

Prevenire il caricamento di malware sul server modificando tutte le estensioni in PNG?

Ok, quindi ho il mio sito web, e puoi usare il caricamento del file un po ', ed è molto importante per il sito. Tuttavia, ho sentito dire che i clienti possono ancora bypassare le restrizioni dell'estensione dei file (permetto solo PNG e JPG), e...
posta 08.05.2016 - 04:55
2
risposte

Filtraggio bypass di virgolette per XSS nel campo di input

Esiste un modo possibile per scrivere un payload che può ignorare il filtraggio di ' , " , < e > ? Per quanto ne so, è javascript:alert() in quanto non utilizza nessuno dei precedenti. Quindi dovrebbe funzionare se lo...
posta 06.04.2017 - 22:33
2
risposte

Precauzioni per la verifica della sicurezza delle applicazioni Web

Abbiamo pianificato di fornire la nostra applicazione Web a un fornitore di terze parti, quali erano le misure precauzionali di cui abbiamo bisogno per fare attenzione prima di fornire la nostra applicazione a un fornitore di terze parti? Poi...
posta 10.06.2015 - 15:24
1
risposta

Salvataggio della password del nome utente crittografato nella sessione

Ho il server Node.js che serve un'app. In quella app ti potrebbe essere chiesto di accedere. Le credenziali di accesso verrebbero autenticate con LDAP. Tale server potrebbe richiedere / pubblicare dati da altri server tramite REST. Questi end...
posta 21.01.2016 - 16:21
2
risposte

I riferimenti diretti insicuri e l'iniezione SQL potrebbero essere risolti utilizzando la sicurezza a livello di riga e le stringhe di connessione per utente?

Riguardo alle seguenti vulnerabilità OWASP: Riferimenti agli oggetti diretti non sicuri . Con ciò intendo lasciare che qualcuno veda /account/123/not-theirs (questo potrebbe essere il riferimento sbagliato che sto usando sopra)....
posta 22.03.2015 - 23:32
4
risposte

Alla ricerca di nuovo software, controllando la loro cronologia della sicurezza?

Lavoro per un'azienda e stiamo cercando di creare un nuovo database / software di registrazione. In quanto tale, siamo passati attraverso molti software diversi, che vanno dalle tecnologie web di base a molto intricate. La mia domanda è: c'è...
posta 15.08.2016 - 20:32
1
risposta

La prevenzione XSS è sufficiente solo sul frontend per i servizi JSON? [duplicare]

Abbiamo un'applicazione con un modulo in cui l'utente può inserire un commento. Il modulo viene inviato utilizzando AJAX. I valori vengono letti anche tramite AJAX e restituiti dal backend come JSON e quindi analizzati da JavaScript per presen...
posta 09.10.2014 - 16:18
1
risposta

Come proteggere l'ID sessione?

Ho letto alcuni degli ultimi giorni sugli ID delle sessioni e sui metodi adottati per impedire alle persone di intercettarli e utilizzarli per dirottare una sessione. Da quanto ho letto, quando si invia l'ID sessione in un cookie al browser S...
posta 15.06.2016 - 09:54
2
risposte

Login: registrazione e occultamento della password

Ho un'app di terze parti che registra la password da ogni tentativo di accesso (indipendentemente dal successo o dall'errore). Si tratta di un'operazione standard e serve davvero qualsiasi scopo di sicurezza significativo? Non in uno scenario ho...
posta 24.05.2016 - 01:35