Domande con tag 'web-application'

1
risposta

ignora un filtraggio regex per eseguire un attacco xss

La regex [\ w /$!.*-]+$ interrompe l'iniezione di payload come: "><script>alert(4)</script> " onload="alert(4)" ...     
posta 31.03.2013 - 17:36
1
risposta

Autenticazione di base con API Web e client HTML / JS?

Ho appena acquistato la sicurezza API Web ASP.NET di Badri L's nel tentativo di apprendere i mezzi meno costosi per proteggere la mia WebAPI, in termini di time-to-implement. Non ho esperienza con la sicurezza e sto cercando una soluzione che si...
posta 12.04.2013 - 02:48
1
risposta

Architettura software dell'applicazione Web: sicurezza di base

Sono un principiante assoluto nel tema della sicurezza e so che dovrei leggere questo , ma ho una piccola domanda alla quale spero esista una risposta breve. Diciamo che ho tre componenti di un'applicazione web che parlano tra loro: un...
posta 05.03.2012 - 19:29
1
risposta

Un sacco di "exploit non identificati" rilevati con w3af

Ho eseguito alcune scansioni su alcune reti diverse e su determinati siti ricevo una segnalazione relativa a un exploit non identificato nel registro. Quando ripasso qual è l'exploit, il più delle volte è un valore POST simile a quello che sembr...
posta 08.08.2012 - 17:55
1
risposta

WEB long stringa di autorizzazione di base / Buffer Over Flow

Ho un utente esterno che riceve uno strano errore nel mezzo dell'utilizzo del mio sito web. L'utente autentica, pubblica una ricerca di informazioni e quindi con l'indirizzo della pagina dei risultati di ricerca riceve una richiesta negata dalla...
posta 19.05.2012 - 00:56
1
risposta

Utilizzo dei token per mantenere gli utenti connessi

Sono uno sviluppatore web PHP che ha letto recentemente sulla sicurezza e di conseguenza mi è venuta in mente questa domanda: come autenticare in modo corretto e sicuro gli utenti già registrati con un token? Ho visto la tecnica menzionata in di...
posta 21.05.2012 - 18:49
1
risposta

Proteggi l'app da Http Proxy come Charles [duplicato]

Sto utilizzando link per l'API web nella mia app. Ma so che Charles ha permesso di accedere anche alla richiesta https, tramite i certificati root di installazione sul dispositivo. Quindi, qualcuno ha scaricato l'app da PlayStore e ha instal...
posta 27.11.2018 - 12:21
1
risposta

Pericoli derivanti dall'invio di numeri di Pin una tantum su http

Ci sono dei pericoli nell'invio di un numero pin una sola volta dal cliente al mio server su HTTP? Qualcuno sta sostenendo che va bene visto che sarà usato una sola volta. Quindi non c'è possibilità che un attaccante lo riutilizzi dopo che è...
posta 11.10.2018 - 16:49
1
risposta

Come prevenire gli attacchi CSRF in due fasi?

Supponiamo di creare un token CSRF e di inserirlo in un modulo nella pagina sendmoney.php . Che cosa impedisce all'aggressore di inviare una richiesta a sendmoney.php per ottenere il token CSRF e quindi inviare il modulo? Qualche ide...
posta 28.10.2018 - 19:22
1
risposta

Come nascondere le cartelle all'interno di webroot per essere identificati?

Ho una libreria all'interno del mio webroot: link Accedere all'URL tramite un browser mi dà l'errore negato previsto. Tuttavia, voglio assicurarmi che i client non sappiano nemmeno che la libreria esiste. La soluzione che ho pensato è...
posta 05.07.2018 - 21:38