Domande con tag 'web-application'

4
risposte

Quanto sono efficaci i proxy inversi come misura di sicurezza per le applicazioni Web?

Quanto sono efficaci i proxy inversi come dispositivi di sicurezza per applicazioni Web? A quali tipi di minacce vengono mitigati e quali no? Ad esempio, sono più efficaci nel prevenire gli exploit contro i server web dell'applicazione proxy...
posta 12.11.2010 - 23:40
2
risposte

Come funziona l'iniezione SQL attraverso l'URL?

Mi chiedo come funziona l'iniezione SQL attraverso l'URL con SQL nel parametro. Supponiamo che abbia un database con una tabella denominata mytable . Quando ottengo un ID dal metodo POST lo metto in questa query: SELECT * FROM 'mytable' WH...
posta 03.06.2013 - 19:55
2
risposte

Dettagli recenti degli exploit XSS di Facebook

C'è stato un recente exploit XSS su Facebook che ha pubblicato un messaggio volgare e ha indotto gli utenti a fare clic su un link per diffondere il payload. Quale vulnerabilità è stata sfruttata e cosa possono fare altri siti per evitare un att...
posta 12.05.2011 - 18:57
6
risposte

È sicuro autenticare l'utente tramite il link di conferma via e-mail?

Quando un utente si registra su un sito Web, deve confermare l'e-mail per attivare l'account. Quando fai clic sul link di conferma, l'utente viene identificato dall'hash di una volta per attivare l'account. È sicuro autenticare l'utente im...
posta 04.10.2016 - 14:18
3
risposte

Quali semplici considerazioni sulla sicurezza posso / devo fare per un'API di sola lettura?

In questo momento sto configurando un'API, da consumare sul lato client per configurare un sito di directory. Mi sto chiedendo quali sono i passaggi extra che devo fare solo per evitare che le persone ottengano l'accesso in scrittura ai dati....
posta 28.05.2013 - 00:14
3
risposte

Come sfruttare la vulnerabilità di reindirizzamento aperto?

Ho la seguente vulnerabilità di reindirizzamento aperto: <?php $redirectUrl = $_GET['url']; header("Location: $redirectUrl"); ?> Questo exploit invia l'utente dalla tua pagina alla pagina diabolica: example.com/?url=example.com/faq....
posta 29.03.2015 - 15:26
1
risposta

Tecnica XSS - & JavaScript Include

Stavo esaminando il Owasp XSS Filter Evasion Cheat Sheet , e c'era una tecnica che era completamente nuova per me: & JavaScript includes<BR SIZE="&{alert('XSS')}"> Ho provato il seguente codice HTML: <html> <...
posta 08.08.2014 - 08:29
3
risposte

Il campo della password deve essere cancellato dopo un tentativo di accesso non riuscito?

Supponiamo di seguire il flusso di lavoro per l'accesso a) Su un dispositivo con tastiera: Digito il mio nome utente e la password premi invio [realizzazione] Ho fatto un errore Il campo della password è cancellato: non è un gros...
posta 11.07.2013 - 12:41
3
risposte

Devo chiedere a un utente di autenticarsi nuovamente se cambia l'identificazione del browser? È disponibile una libreria lato server?

C'è un vantaggio in termini di sicurezza nell'utilizzare l'impronta del browser oltre a un identificativo di sessione per identificare una sessione unica? Sarebbe quindi opportuno chiedere all'utente di riautenticare (o semplicemente aggior...
posta 07.11.2011 - 16:22
3
risposte

Quanto è grave un attacco XSS autonomo?

Alcuni di voi potrebbero avere familiarità con questo attacco chiamato XSS autonomo. Di recente mi sono imbattuto in questo articolo a riguardo. Quindi, quanto può essere pericoloso questo tipo di attacco, anche se questo non ha accesso agli a...
posta 23.12.2011 - 11:06