Domande con tag 'web-application'

1
risposta

Prevenire l'iniezione XXE

Mi sono imbattuto in un metodo di exploit che non ho avuto il tempo di indagare prima. XML eXternal Entity è detto suscettibile di un tipo di iniezione lato server. Posso specificare una dichiarazione del tipo di documento ( DOCTYPE ) per defi...
posta 02.03.2015 - 12:36
3
risposte

Il token CSRF senza cookie di sessione dovrebbe funzionare?

Diciamo che il sito Web esempio.com ha una protezione CSRF. Invia un token CSRF in un'intestazione personalizzata e in campi di input nascosti. Ad esempio per aggiungere una nuova cartella, la tua richiesta http deve contenere un token CSRF....
posta 07.02.2015 - 17:13
2
risposte

Devo usare un token CSRF per pagina o per modulo?

È sicuro utilizzare un token CSRF per modulo sulla mia pagina, ad esempio: <form> <input type="hidden" name="token" vale="<?=$data['login_token'];?>" />" </form> <form> <input type="hidden" name="token"...
posta 09.05.2016 - 21:08
3
risposte

C'è un ulteriore vantaggio per l'autenticazione all'interno di una parte di un'applicazione, dopo essere stato autenticato nell'applicazione principale?

Essenzialmente ho un'applicazione che è in 2 parti. Una parte si trova sul computer dell'utente, che carica i file sul mio server, e l'altra parte è un'applicazione web che funziona con quei file. Entrambe le applicazioni implement...
posta 28.04.2016 - 23:07
3
risposte

Quali sono i diversi payload utilizzati per la vulnerabilità XSS? [chiuso]

Sono nuovo nel campo della sicurezza delle informazioni. Sto cercando le vulnerabilità XSS. In XSS, per lo più, usano% di carico di lavoro<script>alert('XSS')</script> per attaccare un sito web. Nel caso di bypass dei filtri XS...
posta 15.07.2015 - 14:53
1
risposta

Esecuzione di un giudizio sull'utilizzo IP dell'utente

Abbiamo un'applicazione web di tipo click exchange che consente agli utenti di ricevere potenziamenti delle statistiche all'interno di un gioco. Gli stats sono basati su indirizzi IP univoci che rappresentano un problema per gli utenti che utili...
posta 06.03.2015 - 21:04
3
risposte

Verificando il token CSRF sull'intestazione e il modulo nascosto sarà sufficiente?

Da ciò che ho letto qui , i token CSRF dall'intestazione del cookie non possono essere letto a causa della politica della stessa origine. Sta comparando il token CSRF sull'intestazione del cookie con l'elemento nascosto del modulo? Con qu...
posta 09.10.2014 - 16:17
1
risposta

Accesso agli utenti automaticamente su un sito Web

Sto creando un sito Web con una funzione estesa per i forum, in cui gli utenti possono accedere, pubblicare commenti, ecc. Sto facendo la funzione in cui il sito memorizza i cookie sul tuo computer così la prossima volta che visiti il sito web,...
posta 27.08.2014 - 06:03
2
risposte

Come proteggere un servizio Web per le applicazioni Web utilizzando lo stesso database?

Ho 2 o più applicazioni web che devono essere in grado di comunicare insieme usando un'interfaccia di servizio web. Informazioni Tutte le applicazioni utilizzano TLS / SSL (https) Tutte le applicazioni hanno accesso allo stesso database...
posta 28.08.2014 - 20:59
3
risposte

Le librerie con riferimenti esterni (CDN) sono un problema di sicurezza?

Oggi ho letto di un presunto attacco malware targeting per jQuery.com Un blogger tedesco che è quello che chiamerei un esperto di sicurezza IT ha dichiarato che Any website that is working with individual-related data should not refe...
posta 24.09.2014 - 11:44