Domande con tag 'web-application'

2
risposte

Impostazione Access-Control-Allow-Origin: * quando gli identificatori di sessione sono iniettati nelle intestazioni HTTP

È considerato sicuro per un'applicazione impostare un'intestazione access-control-allow-origin: * se durante il normale utilizzo dell'applicazione, le credenziali del client vengono iniettate nelle intestazioni dal codice JS? Per esempio:....
posta 11.04.2017 - 10:20
1
risposta

Devo un'applicazione web sandbox?

Diciamo che sto costruendo un'applicazione web che ospiterò sul mio server. Dovrei sandbox per proteggere il mio server? Nota Ho appena appreso che potrebbe esserci di più nella sandboxing della tua applicazione web che limitare le au...
posta 26.11.2016 - 03:56
1
risposta

Distinguere tra forza bruta e crawler nella segnalazione degli errori

Recentemente ho ricevuto molte e-mail che segnalavano problemi all'interno del mio sito Web che, una volta tornati indietro e controllati, sono stati segnalati come attacchi di forza bruta. Dopo un'ulteriore ispezione della loro posizione. Ho no...
posta 01.03.2017 - 17:48
2
risposte

Esporre porte o nasconderle dietro proxy

Esistono minacce alla sicurezza quando le porte vengono esposte pubblicamente invece di nasconderle tramite proxy? Per esempio. l'applicazione server è in ascolto sulla porta 8090 . Possiamo chiamare questa applicazione direttamente nomehost:...
posta 07.03.2017 - 15:05
2
risposte

Quanto è sicuro l'angolare? [chiuso]

Domanda molto semplice  - L'angolare è un'opzione sicura per lo sviluppo aziendale?  - Angular 2/4 è un'alternativa valida a .net MVC?  - Esiste qualche processo speciale di sicurezza o raccomandazione per questi ambienti?     
posta 28.02.2017 - 09:48
1
risposta

Accesso ai file crittografati (dm-crypt / LUKS) tramite l'app Web

Sono un principiante dei problemi di crittografia e sto cercando di risolvere alcune domande. Per un'applicazione distribuita abbiamo bisogno di distribuire un server al di fuori della nostra azienda con file PDF sensibili su di esso. Questo...
posta 07.11.2016 - 10:23
1
risposta

Rubare il certificato del cliente usando Cross Frame Scripting

Un'applicazione richiede l'ID utente e quindi richiede l'autenticazione del certificato client. Tutte le pagine dell'applicazione sono vulnerabili a XFS. Ora un utente malintenzionato può ottenere userID utilizzando XFS, ma può anche rubare il c...
posta 07.11.2016 - 11:58
2
risposte

Gestione sessione: imposta il nuovo valore dell'ID sessione dopo la modifica dei privilegi e altre operazioni sensibili

Questo articolo OWASP sulla gestione delle sessioni consiglia di impostare un nuovo valore di ID di sessione quando: Common scenarios must also be considered, such as password changes, permission changes or switching from a regular user...
posta 23.10.2016 - 20:55
3
risposte

Come capire se l'umano sta usando un sito Web o uno script automatico?

So che alcuni siti web affermano nei loro termini e servizi che il sito web è accessibile solo agli utenti e non a bot o script. Come fanno a sapere chi sta accedendo? Soprattutto con strumenti come AutoScript che registrano solo i movimenti del...
posta 09.01.2017 - 01:05
1
risposta

Iniezione SQL basata sul tempo di patching?

Durante l'audit di un sito Web di terze parti, ho scoperto che l'intestazione User-Agent è vulnerabile a SQLi basato sul tempo. Qualcuno può suggerirmi come patchare questa vulnerabilità?     
posta 14.12.2016 - 05:53