Domande con tag 'web-application'

1
risposta

L'uso di HttpServletRequest.getQueryString () per un'intestazione di risposta è vulnerabile alla suddivisione della risposta?

Mi è stato detto che usando HttpServletRequest.getQueryString() in un'intestazione di risposta rende la mia applicazione suscettibile agli attacchi di divisione della risposta HTTP, ma non vedo come. È chiaro nel caso di getParamete...
posta 29.11.2015 - 22:40
1
risposta

In che modo X-XSS-Protection: "0" influisce sulla sicurezza del mio sito web?

In che modo la disattivazione della protezione XSS influisce sul mio sito web? Quali vulnerabilità di sicurezza si apre? Il mio sito richiede l'utilizzo dell'intestazione su determinate pagine, quindi cosa posso fare per proteggere le pagine con...
posta 11.11.2015 - 19:42
4
risposte

XSS è pericoloso nell'applicazione senza database?

Penso che non sia così, perché l'XSS che non viene salvato da nessuna parte danneggerebbe SOLO l'attaccante. Ho ragione o ci sono dei casi in cui l'XSS potrebbe danneggiare l'applicazione non-db? (Voglio dire che i dati non vengono salvati ov...
posta 25.07.2011 - 16:31
7
risposte

Devo impedire l'invio di richieste GET per gli URL che normalmente vengono gestiti con la richiesta POST?

Esiste un url che viene normalmente utilizzato utilizzando le richieste POST (vale a dire che la richiesta POST viene inviata quando l'utente invia il modulo). Ma l'utente malintenzionato può creare una richiesta GET con parametri inviati nella...
posta 18.10.2011 - 19:29
5
risposte

Blacklisting vs whitelisting caratteri per prevenire XSS?

Ho letto della prevenzione dell'XSS su OWASP e altri canali di sicurezza. Dicono tutti che dovrei usare ESAPI o una libreria simile e fare il filtraggio degli input attraverso un approccio whitelist. Tuttavia, utilizzo un framework (Webobject...
posta 13.09.2012 - 18:30
2
risposte

Codifica HTML per la protezione contro XSS

Passando attraverso alcuni riferimenti sulla protezione contro XSS ho scoperto che è una buona pratica codificare i dati (inseriti dagli utenti) prima di usarli per generare una pagina dinamica. Non sono riuscito a trovare una spiegazione dettag...
posta 14.03.2013 - 11:01
5
risposte

Un sito Web di origine chiuso dovrebbe conservare una chiave segreta nella sua origine?

Diverse API (come Facebook o Amazon S3) richiedono una chiave segreta per autenticare l'accesso al servizio. Ovviamente, se il codice sorgente è pubblico, la chiave non dovrebbe essere nella fonte! Che ne dici di un sito web chiuso?     
posta 30.09.2011 - 09:17
2
risposte

È sicuro condividere un token di accesso tramite API di messaggistica HTML5 tra vari iframe?

Possiedo un sito Web principale che incorpora altri 3 siti Web tramite iframe (sistemi legacy che offrono varie funzionalità con un'interfaccia utente). Attualmente l'utente deve autenticarsi con ciascuno dei sistemi nonostante stiano tutti util...
posta 10.10.2016 - 00:16
2
risposte

Is Access Control tramite MAC ADDRESS una soluzione pratica / sicura

Gestisco un piccolo sito web di giochi locali con un pannello di amministrazione personalizzato che ho codificato per consentire ai membri fidati di eseguire attività amministrative tramite l'API del software. Dal momento che il loro indirizzo I...
posta 28.07.2011 - 16:20
5
risposte

Strategia di sicurezza Robots.txt?

C'è un modo per avere sostanzialmente un permesso per tutti i criteri sul tuo dominio di primo livello, e tutti i sottodomini non possono tutti? Preferirei che i miei server di app pubblici non venissero indicizzati, ma da quello che posso dire,...
posta 31.01.2012 - 04:44