Domande con tag 'web-application'

1
risposta

Autenticazione con OWASP ZAP Script

Al momento sto lavorando a uno script python che automatizzerà lo zap per me, quindi non devo entrare e spostare manualmente i campi o eseguire la scansione delle pagine. La parte su cui sono bloccato è che attualmente il mio script può solo ese...
posta 12.07.2018 - 22:18
1
risposta

Applicazione Web con origine CORS: * utilizzando l'intestazione dell'autorizzazione

Come indicato qui, link a "Richieste e caratteri jolly credenziali". Citazione: When responding to a credentialed request, the server must specify an origin in the value of the Access-Control-Allow-Origin header, instead of specifying...
posta 21.09.2018 - 15:49
1
risposta

Come faccio a fare da intermediario per due parti che non si fidano l'una dell'altra?

Sto speculando sulla progettazione di un sistema che consente lo scambio di informazioni attendibili tra due parti. Parte A: È una grande azienda. Vuole offrire l'accesso ai propri dipendenti tramite un accordo single-sign-on ai materia...
posta 21.08.2018 - 22:17
1
risposta

Esponendo l'app web interna di noleggio per più negozi / dipendenti [chiusa]

Sto creando un'applicazione web per uso interno al lavoro. Struttura di database relazionale prevalentemente di base (clienti, ordini, film, ecc.). Sarà usato in più negozi in città. Qual è la prassi migliore per esporre l'app per i dipendent...
posta 23.08.2018 - 11:26
3
risposte

Come sfruttare questa vulnerabilità di reindirizzamento aperto nel browser?

Ho un problema Ho trovato la vulnerabilità di reindirizzamento aperta da rutto. La richiesta del server è simile a questa: GET /user/settings/ HTTP/1.1 Host: domain.com User-Agent: etc Quindi ho deciso di trovare il reindirizzamento aperto...
posta 21.08.2018 - 14:47
1
risposta

Le stringhe non attendibili devono essere sterilizzate lato server se vengono inserite nel corpo del documento tramite document.createTextNode?

Chat webapp. I client (ovvero i browser Web) inviano messaggi al server, che il server trasmette a tutti i client connessi. Il codice lato client è simile a questo: let p = document.createElement('p') p.appendChild(document.createTextNode(mess...
posta 26.08.2018 - 00:53
1
risposta

Perché WebAuthn usa solo un fattore?

Una delle cose principali che mi sorprende del nuovo standard WebAuthn è il fatto che queste chiavi biometriche o U2F sostituiscono le password invece di integrarle. Perché è fatto, ed è sicuro?     
posta 23.05.2018 - 02:51
2
risposte

Perché la maggior parte delle applicazioni Web utilizza token CSRF come metodo di prevenzione, invece di convalidare tramite l'intestazione di origine?

Perché il token csrf è stato scoperto al primo posto? Si può sempre controllare dalla richiesta generata dall'intestazione di origine
posta 28.09.2018 - 10:54
1
risposta

Come memorizzare un token di accesso utente su un sito di terze parti nel front-end

Sto lavorando su un plugin per wordpress che fornisce un sistema di thread di commento simile a disqus (ma diverso). Per accedere (per inviare commenti) il flusso di lavoro è simile a questo: L'utente fa clic sul log-in sul blog wordpress...
posta 03.09.2018 - 13:28
2
risposte

codifica JWT utilizzando HMAC con chiave asimmetrica come segreto

Al momento sto sfruttando la vulnerabilità discussa qui link Dove l'algoritmo digita JWT può essere cambiato da RSA a HMAC e firma il token con una determinata chiave pubblica. Tuttavia, ho scritto il seguente codice Python: import...
posta 07.06.2018 - 13:41