Domande con tag 'web-application'

domande con tag
1
risposta

Sicurezza di un sessionID memorizzato in un div nell'origine della pagina

Ho appena trovato un'applicazione web che sembra memorizza il mio sessionID attuale sotto forma di un elemento div , che non è visualizzato sulla pagina web. Questo è un metodo strano, ma sinceramente non vedo un rischio reale per...
posta 16.10.2017 - 09:44
1
risposta

Rischi per la sicurezza con la gestione degli archivi ZIP nelle applicazioni web

Sto ricercando possibili rischi per la sicurezza quando gestisco file ZIP o archivi in generale, nelle applicazioni web. Lo scenario è il seguente. L'utente è in grado di caricare qualsiasi file ZIP (o in generale un archivio), l'applicazione...
posta 28.08.2017 - 10:42
1
risposta

Ignora meccanismo di abbinamento URL blackbox per un reindirizzamento aperto

Attualmente sto testando un'applicazione web, che sembra avere una vulnerabilità di reindirizzamento aperto, poiché ricevono un parametro redirect_url tramite GET. L'applicazione reindirizza l'utente a questo URL in seguito. Tuttavia, esegu...
posta 14.09.2017 - 11:06
1
risposta

Rischi potenziali associati all'utilizzo di Docker nei server di produzione

Quali sono i aggiunti rischi per la sicurezza dell'utilizzo di un contenitore dockerizzato per la distribuzione di un server di produzione? Non sono interessato a rischi che esisterebbero comunque nell'implementazione di un server di produz...
posta 07.09.2017 - 10:15
1
risposta

Best practice per l'archiviazione e l'invio di fingerprint del browser a endpoint protetti

Ho una grande API e JSON Web Tokens (JWT) utilizzati per l'autorizzazione dell'utente. Questi token sono convalidati sul frontend (proxy nginx) con codice Lua. Ora voglio proteggere la mia API un po 'di più con le impronte digitali del browser....
posta 06.11.2017 - 13:01
1
risposta

Alcuni bot continuano a postare questo sul mio server

Alcuni bot continuano a pubblicare stringhe come questa sul mio server. Che cosa significano e qual è il modo migliore per prevenirli? RaxfkI/IZARdmslPRT3qzmMmaAmJOQ1i3lJWx9f4jJBQ0fVChoXCF3hlRjvticMkgEQxR7RKxb8uWfcbQa9jRqW8JFfOAykAsg7Nkf6...
posta 28.10.2017 - 21:45
1
risposta

Utente autenticato in movimento per un servizio diverso

Questa è una di quelle situazioni "Non so nemmeno cosa non so". Scusate se suono confuso o commetto errori da principiante. Qualsiasi aiuto, incluso il materiale di lettura, sarebbe apprezzato. Sto cercando di costruire per lavoro un servizio...
posta 29.06.2017 - 20:51
1
risposta

Il token anti-contraffazione ha senso se le richieste di origine incrociata non sono supportate?

Se il mio sito risponde solo a richieste provenienti dal proprio dominio, ha senso implementare token CSRF sulle mie richieste? Credo che sia il Cross-Site in CSRF a indurmi a porre questa domanda. Se le richieste cross-site vengono sempli...
posta 01.08.2017 - 11:00
1
risposta

Protezione contro CSRF, JWT, cross domain

Ho un'app di frontend pesante con una pausa API in node.js. L'app e il back-end sono su host diversi. Inoltre, è possibile accedere all'app sia con http che con https. Il motivo per cui il contenuto è misto: gli utenti dell'applicazione caricano...
posta 28.05.2017 - 13:32
1
risposta

Se utilizzo SSL, devo cancellare la password prima di inviarla al server? [duplicare]

Sto creando un sito Web per aiutare le persone con determinati interessi di nicchia a trovarsi l'un l'altro. Viene fatto semplicemente come un progetto volontario, non ci sono soldi in gioco (su entrambi i lati), né ci sono molte informazioni...
posta 28.05.2017 - 16:43