Domande con tag 'web-application'

7
risposte

Whitelisting elementi DOM per sconfiggere XSS

Come sappiamo, gli sviluppatori sono responsabili della corretta escaping / validazione dei dati forniti dall'utente prima di renderli o memorizzarli. Tuttavia, dobbiamo convenire che è relativamente facile dimenticare un singolo input tra centi...
posta 20.12.2010 - 12:13
6
risposte

Si tratta di un problema di sicurezza che consente la registrazione di indirizzi email quasi identici?

Supponiamo che tu abbia un sito web dove è possibile creare account per tutti i seguenti indirizzi email: '[email protected]' '[email protected] ' '[email protected];' '[email protected];[email protected]' Questo dovrebbe essere considerato un problema di sic...
posta 27.01.2016 - 21:00
6
risposte

Giocare con l'intestazione del referer

Ci sono 2 siti: http://www.site1.com http://www.site2.com http://www.site1.com contiene link a http://www.site2.com as <a href="http://www.site2.com/">link<a/> Quando l'utente fa clic sul link da http://www.site...
posta 12.01.2013 - 09:12
4
risposte

Enumerazione dei nomi utente?

Da quello che capisco, è una cattiva pratica di sicurezza mostrare messaggi di accesso falliti come: The email you entered does not exist Invece di Incorrect email/password combination perché può portare all'enumerazione del nome...
posta 24.09.2013 - 17:16
6
risposte

Da dove iniziare con i test di sicurezza?

A partire da un team di QA che si occupa principalmente di test dei requisiti funzionali e ha poca esperienza di test di sicurezza reali, quali semplici cose pratiche dovrebbe iniziare il team di QA per iniziare a pensare come un aggressore?...
posta 12.04.2012 - 15:18
8
risposte

In che modo CAPTCHA mitiga gli attacchi DDoS?

Questa sembra una domanda facile, ma non ho trovato una risposta. Uno degli usi di CAPTCHA è quello di mitigare gli attacchi di tipo Denial of Service. Supponiamo che un avversario compia tentativi di accesso eccessivi, lasciando gli altri ut...
posta 20.10.2012 - 16:28
6
risposte

Come può un utente difendersi contro il dirottamento di sessione?

Dato un sito Web con vari errori di sicurezza, uno di questi è il dirottamento di sessione, il token di sessione viene continuamente inviato come argomento su HTTP non protetto. Nel mio campo non sorprende che altri snifino le reti che uso, quin...
posta 03.01.2017 - 00:33
2
risposte

La richiesta di arricciatura non filtrata di un sito Web è vulnerabile?

Recentemente ero su un sito web che offriva alcune funzionalità non-sense: Inserisci un URL premi invio L'origine HTML di un determinato URL viene visualizzata Fondamentalmente ha recuperato un URL e ne ha semplicemente scaricato il c...
posta 01.08.2015 - 16:05
4
risposte

Sfida impegnativa: hashing della password sul lato client e verifica della password sul lato server

Abbiamo un sito web in cui gli utenti devono accedere per accedere alle informazioni privilegiate. Ovviamente stiamo usando SSL, ma voglio anche evitare che le password in chiaro finiscano accidentalmente nei log del server, o gli occhi vagabond...
posta 12.07.2012 - 15:28
4
risposte

Perché abbiamo bisogno di CAPTCHA? In quale caso dovremmo usarlo?

In quale caso dovremmo implementare la sicurezza basata su Captcha ?. Quanto è accurato e se esistono alternative per la sicurezza basata su Captcha.     
posta 28.12.2012 - 03:51