Domande con tag 'web-application'

2
risposte

Protezione di sniffing MIME

Come è noto, le versioni precedenti di MSIE (prima di 8) hanno la pessima abitudine di trattare le immagini come HTML se "sembrano" HTML, il che può portare a brutte vulnerabilità per i siti che consentono alle persone di caricare immagini. Anch...
posta 17.04.2011 - 09:50
3
risposte

Eventhandlers che si applicano ad elementi nascosti?

Sto provando a XSS un campo di ricerca e il mio vettore di attacco si riflette in questo modo: <input type="text" id="txtRpHiddenKeyword" style="display: none;" value="ATTACK VECTOR HERE" /> Sono consentite solo virgolette e le parent...
posta 20.12.2013 - 14:03
2
risposte

Come impedire l'attraversamento della directory quando si uniscono i percorsi in node.js?

Ho una webapp node.js nella quale ho bisogno di concatenare due percorsi in modo sicuro. Il primo (a sinistra) è una costante e il secondo (a destra) è relativo al primo e proviene da input dell'utente non attendibile. Il percorso risultante dov...
posta 19.05.2016 - 13:52
4
risposte

Un'app mobile è più sicura per l'utilizzo mobile rispetto al sito web "normale"?

Un utente finale inesperto che utilizza un browser Web mobile è vulnerabile al phishing e non può facilmente verificare l'autenticità (o sicurezza) di un sito web tra altri problemi . Inoltre, è molto semplice impedire anche a un utente esper...
posta 09.03.2012 - 16:32
2
risposte

Mantenere viva la sessione utente - considerazioni sulla sicurezza

Abbiamo recentemente sviluppato alcune funzionalità per la nostra app Web per consentire a un utente di rimanere connesso a tempo indeterminato, e sono interessati a conoscere le implicazioni sulla sicurezza di farlo. L'obiettivo era prevenire l...
posta 12.11.2012 - 12:08
4
risposte

Posso sostituire nome utente e password con un testo casuale lungo nell'URL? [duplicare]

Scenario Un cliente si trova ad affrontare un problema con i suoi utenti: utilizzano un servizio (web) alcune volte all'anno e dimenticano le proprie credenziali molto spesso . Esiste una procedura standard di recupero della password, ma...
posta 03.12.2015 - 13:31
4
risposte

Sta usando HMAC per trasmettere una password OK?

Sto scrivendo una piccola webapp e non voglio trasmettere le password di accesso come testo in chiaro. Dato che non ho SSL disponibile, ho scritto un sistema di una tantum che invia una stringa casuale con il modulo di login che viene poi utiliz...
posta 05.09.2011 - 10:03
3
risposte

In che modo un utente malintenzionato si avvicina a un sito Web?

Che cos'è una mentalità e un metodo di approccio tipici? Che probabilità hanno di provare prima? A che punto un novizio si arrende contro un esperto? In che modo un attacco automatico differirebbe da quello manuale?     
posta 21.11.2010 - 10:07
3
risposte

Nascondere le versioni del software server ha un notevole effetto sulla sicurezza?

I server Web possono aggiungere Server , X-Powered-By e intestazioni simili nelle risposte HTTP. Sembra che il consenso sia tali intestazioni dovrebbero essere rimosse in modo che gli scanner automatici di vulnerabilità non sappiano i...
posta 14.06.2012 - 13:40
9
risposte

Qual è il modo corretto di visualizzare il codice sorgente di un sito web?

Recentemente ho sentito che Firefox fa una seconda richiesta HTTP quando viene richiesto il codice sorgente. È vero? Questo significa che il webserver potrebbe emettere una fonte alternativa dall'originale? Infine, c'è uno strumento che do...
posta 01.10.2011 - 01:14