Domande con tag 'web-application'

domande con tag
1
risposta

A parte il token di sincronizzazione, esiste un modo di protezione contro CSRF usando le intestazioni http?

Recentemente mi sono imbattuto in alcuni siti web usando HTTP Header, ovvero X-XSRF-Token e un cookie con un nome simile. È una soluzione migliore rispetto alla sicurezza basata su token casuali per CSRF?     
posta 15.01.2015 - 11:34
1
risposta

Autenticazione applicazione Web mediante Proprietà del computer

Introduzione: Sono in procinto di creare un gioco basato sul web che richiede l'autenticazione dell'utente. La stragrande maggioranza degli altri siti di gioco utilizza il tipico metodo username / password per l'autenticazione degli utenti,...
posta 20.04.2014 - 02:27
2
risposte

Come si decide se bloccare le attività di scansione dannosa?

In una giornata tipica su Internet, ci sarebbero numerose botnet che comandano i computer zombie per cercare server con vulnerabilità. Ogni tanto, un nuovo exploit sarebbe scoperto. Quindi, i computer zombie sarebbero riprogrammati per cercare i...
posta 21.01.2014 - 07:09
1
risposta

XSS attacco vettoriale senza barra?

esiste un vettore di attacco XSS che consente l'inclusione di un file .js esterno senza dover utilizzare le barre in avanti? diciamo che il percorso del file è somewebsite.com/js/xss.js C'è un modo per passarlo a un parametro che funz...
posta 23.02.2014 - 18:27
1
risposta

perché il codice di verifica del telefono di Gmail non è stato crittografato

durante l'utilizzo del sistema di codici di verifica del telefono di google, ho notato che il codice di verifica del google phone è sempre di 6 cifre Non è possibile forzare il bruto per generare in modo casuale le 6 cifre? È possibile che ci...
posta 06.03.2014 - 08:35
1
risposta

Ci sono dei vantaggi nell'impronta digitale Ajax?

Stavo leggendo un articolo su " Difesa Web 2.0 con Ajax Fingerprinting and Filtering ". L'enfasi su carta è l'utilizzo dell'intestazione del timbro temporale Ajax per identificare le chiamate Ajax. // Building request http.open("GET", "/aj...
posta 18.02.2013 - 11:13
2
risposte

Perché le applicazioni web dovrebbero utilizzare più gatekeeper?

Ho letto una lista di controllo di sicurezza per la progettazione di applicazioni web che può essere trovata su: link Uno dei consigli è "usare più gatekeeper". Ho letto la spiegazione ma non ho capito nulla. Ecco la spiegazione: On...
posta 14.09.2013 - 10:56
3
risposte

Trasferimento sicuro dei dati dal fornitore di servizi al client

Supponiamo che un client C voglia trasferire un fornitore di servizi P , che ha raccolto dati sul comportamento di C utilizzando un'applicazione web. Inoltre, supponiamo che la quantità di dati sia maggiore di 100 MByte e contenga informazio...
posta 08.09.2013 - 23:01
2
risposte

Ho bisogno del certificato SSL firmato da una CA per le app mobili ibride?

Sono appena entrato nel dominio ssl e ho iniziato a esplorare come implementare ssl. La mia domanda è che capisco che i certificati ssl firmati da CA permettono effettivamente al client o al browser di verificare che il webserver o il webservice...
posta 25.10.2013 - 08:15
1
risposta

XSS riflesso: comprensione automatica dei filtri

Al momento sto affrontando questa possibile vulnerabilità XSS riflessa su una webapp: URL = http://www.test.com/login/?login=[PAYLOAD] Quando un utente fa clic su questo link, visualizza una pagina di accesso che include il seguente c...
posta 15.10.2013 - 18:51