Domande con tag 'web-application'

4
risposte

Come sapere quale database si trova dietro un'applicazione web?

Ho letto che diversi database (mysql, sql server, ...) hanno diverse vulnerabilità e che sono vulnerabili ad alcune iniezioni SQL specifiche. Quando un utente malintenzionato tenta di eseguire un attacco di database contro un sito Web (come l...
posta 10.12.2012 - 12:54
1
risposta

abilita il caching del browser con HTTPS

Comprendo che i dati sensibili non devono essere memorizzati nella cache (ovvero non si desidera memorizzare nella cache un file HTML con tutti i dettagli del proprio conto bancario), ma ci sono alcune cose che i siti protetti HTTPS dovrebbero e...
posta 09.09.2011 - 08:38
4
risposte

Le informazioni sensibili sono state inserite in una cartella accessibile al pubblico. Chi è responsabile e come procedere?

Sfondo Abbiamo uno staff IT che gestisce il nostro server e uno sviluppatore web che non fa parte dello staff IT e non ha accesso root al server. Tutti i soggetti coinvolti svolgono un lavoro di altissima qualità e non ritengo che questo de...
posta 29.02.2012 - 00:17
3
risposte

Usando la combinazione di estensione del file e tipo MIME (come output per file -i -b) per determinare i file non sicuri?

Permettiamo agli utenti di caricare un numero di file, che inviamo a scribd (doc, xls, ppt, ecc.) o mostriamo come video noi stessi (flv, mov, mp4, etc in flowplayer). Per evitare che gli utenti caricino file non sicuri, controlliamo un insie...
posta 24.09.2011 - 12:44
5
risposte

L'impostazione httponly impedisce il furto di una sessione usando XSS?

Se un token di sessione è memorizzato in un cookie che ha impostato httponly, esiste un modo in cui una vulnerabilità XSS può consentire a un utente malintenzionato di rubare un token di sessione degli utenti?     
posta 08.10.2013 - 21:53
4
risposte

Invio HTTP 403 come. 200 - "Identificazione silenziosa dell'amministratore"

Un ricercatore ha recentemente segnalato un problema in un sito sull'uso dello script su un sito di terze parti per scoprire se un utente è un amministratore. Ecco lo scenario: Il sito principale è target.example Il sito dell'attacker è...
posta 22.07.2013 - 17:11
4
risposte

Server socket personalizzato su Internet in esecuzione come root

Stiamo scrivendo un server socket personalizzato che gira su una porta alta. Fino a poco tempo fa, era in esecuzione dietro un firewall aziendale. Ora, è stato deciso che il server dovrebbe essere portato fuori dal firewall e servire il traffico...
posta 23.04.2015 - 20:13
2
risposte

È necessaria la firma della richiesta (digerire il corpo della richiesta) in una API REST?

Attualmente sono impegnato in un dibattito e mi sono chiesto quale fosse l'opinione della comunità su questo. Vediamo API REST che richiedono solo l'autenticazione di base (forse HTTP) o OAuth. Vediamo API REST che richiedono anche una...
posta 15.03.2013 - 17:46
2
risposte

Rilevazione dei tentativi di attacco a un sito Web?

Attualmente sto cercando di implementare alcune raccomandazioni da OWASP AppSensor Project e vorrei rispondere al attaccante quando cerca di entrare nel mio sito web. Esistono risorse che coprono / analizzano i specifici vettori di attacc...
posta 09.12.2010 - 19:03
1
risposta

Devo cancellare le mie password anche se sono autorizzato a generare traffico limitato?

In questo momento sono impegnato a lavorare su una webapp con un mio amico. Il problema principale che abbiamo è che siamo autorizzati a generare solo 50 GB al mese in datatraffic. La mia domanda è: hashing delle password per gli utenti (quan...
posta 13.05.2016 - 10:13