Domande con tag 'web-application'

domande con tag
2
risposte

qual è il problema di sicurezza se il timeout della sessione è il valore predefinito dalla configurazione del server?

In un'applicazione web il timeout della sessione non è definito né nell'applicazione né nella configurazione dell'applicazione. Ma il timeout predefinito è preso da IIS. qual è il problema di sicurezza se il timeout della sessione è il valore pr...
posta 19.01.2017 - 18:18
2
risposte

Integrità delle risorse secondarie per le risorse della stessa origine (first-party)

Quasi tutti gli articoli che ho letto su integrità subresource copiano gli script di caricamento (e CSS) da CDN e risorse di terze parti, il che ha senso. Esiste un valore nell'aggiunta dell'attributo integrity ai miei script (cioè di...
posta 17.10.2016 - 04:38
1
risposta

In che modo l'impossibilità di modificare il titolo della funzione javascript alert () aiuta nell'anti-phishing

Stavo usando javascript in una delle mie app Web e volevo visualizzare un avviso sullo schermo utilizzando la funzione alert("some message") con un titolo personalizzato. Esempio: ma come suggerito da molti siti Web, non è possi...
posta 25.09.2016 - 16:21
1
risposta

Memorizza la chiave di crittografia in $ _SESSION contro $ _COOKIE?

Leggendo il tutorial qui: link (scenario # 2) Si consiglia di memorizzare la chiave di crittografia in una variabile di sessione. Mi stavo chiedendo, è più sicuro memorizzare la chiave in una variabile cookie invece? La mia ipotesi:...
posta 10.09.2016 - 22:29
1
risposta

A quali attacchi di sicurezza è aperto il mio semplice sistema di carrelli?

Sto mettendo insieme un sito semplice con un processo di checkout di base. Sto usando laravel 5.2. Quando un utente fa una visita, le applicazioni controllano se un cookie è stato inserito con un hash cookie - l'hash è lungo 70 caratteri. Se c'è...
posta 19.08.2016 - 13:57
1
risposta

Perché i siti web mostrano parti di numeri di telefono, ma mai indirizzi e-mail?

Supponiamo che disponga di un sito Web che consenta a un utente di reimpostare la sua password tramite e-mail o tramite messaggio di testo. L'utente dovrebbe essere autorizzato a scegliere l'uno o l'altro. Senza dare troppe informazioni, qual...
posta 17.08.2016 - 22:57
1
risposta

Perché lo scripting cross-site in URL è pericoloso se non utilizzo i cookie? [duplicare]

Attualmente ho un problema con XXS in questo sito. https://bbcpanningen.cupweb6.nl:1311/servlet/OMSALogin?msgStatus="><script>alert("hello") </script> Ma non capisco come un aggressore possa sfruttarlo. I siti non utilizza...
posta 12.11.2013 - 20:36
1
risposta

Può un testo di pagina web salvato in macchine di compromissione di file pdf

Sto facendo una valutazione della sicurezza in cui una pagina web ha dei campi se noi trasmettiamo i dati in essi pdf è generato al backend, è possibile inviare del testo dannoso che verrà in pdf e può compromettere la macchina dell'utente o di...
posta 21.09.2016 - 13:20
1
risposta

Esistono vulnerabilità XSS nel framework Vaadin?

Attualmente sto effettuando ricerche su alcune vulnerabilità di applicazione Web, in particolare vulnerabilità lato client come XSS. Ho già letto alcuni argomenti su questo problema. Hanno detto che era possibile iniettare codice dannoso all'int...
posta 21.09.2016 - 14:14
1
risposta

Come evitare l'abuso dell'endpoint del web server da un client canaglia?

Mi sono reso conto che una volta che un utente accede all'applicazione e riceve un token di autenticazione c'è il potenziale che possano usare quel token insieme a un client canaglia per sfruttare un endpoint a cui ora hanno accesso. Ad esemp...
posta 21.03.2016 - 17:25