Domande con tag 'web-application'

1
risposta

Flask debug = True exploitation

È risaputo che l'opzione debug=True di Flask può portare all'esecuzione di codice in modalità remota tramite le funzionalità di debugger werkzeug e anche diversi sono state compromesse . Ho deciso di esaminarlo e si è scoperto che la tecni...
posta 24.10.2016 - 10:19
3
risposte

Non sensibili / non critici Database e protezioni del server Web?

Ho un DMZ illimitato che è attualmente impostato con un server web e server di database non critico / non sensibile all'interno. Il server di database ottiene interfacce da due sistemi critici ma non memorizza alcuna informazione critica. Sto pe...
posta 01.10.2015 - 11:16
2
risposte

Come posso implementare un'area di download sicura su un sito Web che richiede una firma elettronica?

Per scopi di gestione della qualità, la società per cui lavoro vorrebbe un sistema che richiede a un cliente di leggere una dichiarazione di non responsabilità e quindi fornire un firma elettronica , riconoscendo detto disclaimer, prima di conc...
posta 07.01.2016 - 11:26
1
risposta

Rileva man-in-the-middle sul lato server per HTTPS

Background: abbiamo un sito che funziona su HTTPS (HTTP non supportato, usiamo HSTS). È distribuito in cloud di terze parti, che limita le nostre capacità di controllo e di registro sull'hardware del server. Non possiamo forzare l'utilizzo dell'...
posta 14.01.2016 - 12:29
2
risposte

Come posso testare la mia applicazione web per gli attacchi temporali?

condizioni di gara, ecc. Ci sono strumenti automatici per questo? Quali tecniche manuali dovrei usare? Dalla proposta di Area51     
posta 16.11.2010 - 08:34
3
risposte

Ottenere una revisione manuale del codice di sicurezza fatta - A cosa fare attenzione?

Abbiamo un'applicazione PHP che vogliamo ottenere la revisione del codice da un consulente di sicurezza esterno, ma non sono chiaro su come "andare" su quel processo. Abbiamo specificato quale tipo di test avrebbe dovuto fare, e la prima part...
posta 30.11.2010 - 11:47
1
risposta

Qual è lo stato di HTTPS forzato ovunque (sicurezza di trasporto rigorosa) tramite DNS? Vedo solo la bozza del luglio 2010

Sto cercando di trovare l'RFC più recente su HSTS in DNS (o meglio, detto DNSSEC), ma può trovare solo questo anno in uno stato di bozza scaduto Dove posso trovare la guida più aggiornata su STS in DNS? Se non è ancora disponibile, come p...
posta 25.10.2011 - 06:40
3
risposte

Perché i siti web bancari mi chiedono sempre di autenticare il mio PC anche dopo aver scelto "Remember my Computer"?

Perché i siti web bancari mi chiedono sempre di autenticare il mio PC anche dopo aver scelto Remember my PC? Questo è il caso di tutti i siti web bancari     
posta 30.10.2011 - 21:41
1
risposta

Implicazioni sulla sicurezza dell'attributo di download

L'attributo download in un elemento a indica al browser di forzare il download di un file che altrimenti verrebbe interpretato dal browser. Questo è molto comodo, poiché spesso gli utenti vogliono scaricare un file (ad esempio jpg) invece d...
posta 08.08.2018 - 22:52
3
risposte

Esiste un modo per bloccare (o approvare condizionatamente) iFrame sul lato client?

Dato che iFrames sono utilizzati in molti exploit comuni , mi piacerebbe disabilitare gli iFrame condizionatamente ad eccezione dei siti che lo richiedono come GMail o < a href="https://security.stackexchange.com/a/31291/396"> MasterCard Secu...
posta 05.03.2013 - 16:08