Domande con tag 'web-application'

2
risposte

Quanto dovrebbe durare il timeout assoluto della sessione?

Il foglio Cheat di OWASP Session Management ( link ) consiglia di implementare un timeout di sessione assoluto (oltre alla sessione inattiva tempo scaduto). Significa che l'applicazione obbliga l'utente a eseguire nuovamente l'autenticazione ind...
posta 29.11.2015 - 21:44
2
risposte

Quando visualizzo il mio sito web dalla porta 3306, vedo alcune strane informazioni su MySQL

Se visito il mio URL web e imposto la porta 3306 (MySQL), vedo una pagina Web dall'aspetto sospetto: Questo espone vulnerabilità per me? Devo bloccare la porta 3306?     
posta 12.01.2016 - 05:59
3
risposte

Come potrebbe essere utilizzata la stringa \ "; alert ('XSS'); // per XSS?

Usavo Burp Suite per alcuni test e ho notato che includevano la seguente stringa: \";alert('XSS');// come una stringa di attacco per un carico utile XSS. Come si può usare questa stringa per eseguire un attacco XSS?     
posta 31.07.2013 - 01:54
3
risposte

Perché HSTS non si applica automaticamente ai sottodomini per migliorare la sicurezza? Per quale motivo qualcuno non vorrebbe HSTS su ogni sottodominio?

HSTS limita la connessione a essere sempre HTTPS se distribuita da qualsiasi dominio, tuttavia per applicarla ai sottodomini è necessario l'attributo 'includeSubDomain'. Perché la politica stessa non rende obbligatorio includere tutti i sottodom...
posta 28.10.2016 - 13:20
3
risposte

Accesso al documento utilizzando un token di 6 lettere

Stiamo costruendo un'app Web in cui gli utenti possono inserire 6 lettere / cifre (A_Z, 0-9) in un modulo per accedere a un documento. Ogni documento ha un codice di accesso assegnato in modo casuale come questo: 1ABH5F. Quando l'utente inser...
posta 26.09.2016 - 10:13
4
risposte

Quali sono le principali considerazioni sulla sicurezza che devono essere prese in considerazione se si intende creare un sito Web (localizzato) informatore?

Inoltre: è qualcosa che può essere raggiunto con fondi limitati? Lo chiedo perché sono affascinato dagli ostacoli che sono in atto.     
posta 26.02.2014 - 23:06
4
risposte

Perché OWASP Top 10 (applicazione web) non è cambiato dal 2013, ma Mobile Top 10 è recente come 2016?

L'ultima edizione di OWASP Top 10 per le applicazioni Web è stata nel 2013 e per le applicazioni mobili è il 2016. Perché è così? Possiamo dire che il pattern nelle vulnerabilità delle applicazioni web è stato risolto? La stessa cosa succederà...
posta 13.07.2016 - 16:32
2
risposte

Antivirus per la scansione di caricamenti di file anonimi

Poiché non ho esperienza con le soluzioni AV in ambienti di tipo Unix, avrei bisogno di aiuto con suggerimenti su qualcosa che possa essere adatto per la scansione di file che vengono caricati da utenti anonimi attraverso un'applicazione Web....
posta 30.11.2011 - 11:24
2
risposte

XSS via JSON: perché un'applicazione web non disinfetta il suo hash dei parametri in arrivo oi suoi valori JSON in uscita di tag dannosi come Script?

Recentemente lavorando a un'applicazione Web basata su Rails per un'azienda, ho dovuto esaminare la vulnerabilità XSS. Risulta che l'applicazione, in alcuni punti, potrebbe prendere un tag HTML (ad es., <script>jscodehere</script>...
posta 19.12.2015 - 10:05
4
risposte

Vale la pena, dal punto di vista della sicurezza, limitare l'utente del server database per il sito Web ASP.NET al solo ESEGUI sulle stored procedure?

So che ovviamente dobbiamo evitare gli attacchi SQL injection tramite la convalida dell'input dell'utente e le query parametrizzate. C'è già un firewall sul server del database per limitare le connessioni remote ad essere accettate solo dal serv...
posta 09.08.2011 - 22:51