Domande con tag 'web-application'

1
risposta

Vulnerabilità del token Web JSON con HMAC e RSA

Attualmente sto imparando una vulnerabilità che sfrutta un token web JSON che è discusso qui Sebbene io abbia compreso la natura del bug e come possa essere abusato dagli aggressori, non sono riuscito a capire come sfruttarlo. Ho letto molt...
posta 05.06.2018 - 13:01
4
risposte

127.0.0.1 accesso a Internet [chiuso]

Stiamo esaminando un'app che richiede una voce DNS locale per my.site.com con indirizzo IP 127.0.0.1. Il nostro proxy sta bloccando questo URL ogni volta che l'app tenta di utilizzarlo. Il supporto dell'app dice che è (my.site.com) è tutta la co...
posta 07.12.2018 - 06:45
1
risposta

Come evitare la manipolazione della risposta nell'applicazione NodeJS?

Ho un'applicazione NodeJS sul server. L'attaccante del sistema client sa già come appare la risposta di successo per una richiesta. La prossima volta che invia una richiesta con credenziali errate, qui anche se la richiesta risponde con lo stato...
posta 26.03.2018 - 18:56
1
risposta

Protocollo / standard / software per richiedere la firma / verifica dei contenuti PGP?

Ho un piccolo forum Web e vorrei promuovere l'uso della firma PGP dei messaggi. Gli utenti possono firmare i loro post e verificare i post di altri utenti ma attualmente il processo è manuale. A seconda del software che stanno utilizzando e dell...
posta 08.08.2018 - 23:30
1
risposta

Memorizzazione di dati finanziari di base

Sto lavorando a un progetto simile a un'app di bilancio come mint o ynab. Utilizzerò l'api Plaid , che astrae i numeri di account / routing, ecc. Quindi, a cosa avrò accesso e sarà cercando di memorizzare, sarebbe il nome dell'account, il saldo...
posta 21.03.2018 - 04:17
1
risposta

Come rilevare XSS sui tag HTML? [chiuso]

Sono un principiante che sta cercando di capire XSS. Voglio creare il mio sito e sono molto curioso di sapere se uno qualsiasi dei tag HTML è vulnerabile a XSS (come se fosse <src> o <a> tag). Di seguito è riportato un b...
posta 03.08.2018 - 23:08
1
risposta

Previene CSRF sul sito Web pubblico senza accesso

Sto lavorando a un progetto web che consente a una persona di inviare un modulo di richiesta alla mia API. Ogni visitatore può inviare una richiesta tramite tale modulo senza effettuare il login. Attualmente l'API genera un token quando la pa...
posta 20.04.2018 - 04:55
3
risposte

Gestione delle credenziali db per le applicazioni Web

Esiste un'alternativa ai file delle proprietà per la gestione delle credenziali di connessione del DB (e di altri servizi) per un gruppo di applicazioni Web? Non potresti usare qualcosa di simile a un registro di servizio ? Ad esempio, l'app...
posta 18.04.2018 - 23:07
1
risposta

Le virgolette singole non sono sterilizzate

Sto cercando di trovare problemi di sicurezza sul sito del mio amico. C'è una casella di inserimento per l'abbonamento. Posso inserire il mio indirizzo email: Henry<IMG SRC=# onmouseover="alert('xxs')">@gmail.com Dopo aver provato div...
posta 18.08.2018 - 21:27
2
risposte

Il browser non riconosce HTTPS

Sto riscontrando uno strano problema segnalato da un cliente: Questo browser non mostra la connessione protetta e accreditata HTTPS, sebbene il mio sito abbia HTTPS. Normalmente, su altri browser mostrano. Ad esempio: [Company S...
posta 19.04.2018 - 15:15