Domande con tag 'web-application'

4
risposte

Campi password Web protetti + reindirizzamento http a https

Sono uno sviluppatore di software ma sto marcando la mia nicchia nello sviluppo sicuro. È emerso che durante l'utilizzo di WebScarab, ho scoperto che un popolare sito di gruppi di utenti non sembra prendersi cura correttamente delle password Web...
posta 19.08.2011 - 23:50
3
risposte

Gestore password centralizzato basato su host web locale [chiuso]

Nella nostra azienda abbiamo più di 100 datori di lavoro e tutti usano quotidianamente diverse applicazioni online. Per accedere a tutti questi siti hanno bisogno di una password che ora è stata memorizzata in modo molto insicuro. quindi ho inte...
posta 29.07.2015 - 15:41
3
risposte

La politica di sicurezza dei contenuti è un approccio che vale la pena di supportare?

Mozilla Firefox 4.0 supporta qualcosa chiamato Content Security Policy che disabilita l'interpretazione di Java Script incorporato . Vengono eseguiti solo i file Java Script esterni a cui viene fatto riferimento utilizzando un tag script e che...
posta 28.03.2011 - 16:48
3
risposte

Quali personaggi pericolosi devono essere filtrati dall'input dell'utente prima di essere utilizzati in una query DB2 SQL?

Sto cercando di comprendere appieno come filtrare / sfuggire correttamente i caratteri pericolosi dall'input dell'utente che verranno interpolati in una query DB2 SQL. Il routing di disinfezione che sto analizzando funziona in questo modo:...
posta 10.03.2013 - 00:03
3
risposte

Qual è il valore nel chiedere una seconda password per le operazioni sensibili?

Quando un utente ha effettuato l'accesso a un sistema utilizzando la propria password primaria, esiste un valore nel richiedere una seconda password distinta quando si eseguono funzioni sensibili? Fornisce qualche vantaggio nel chiedere nuova...
posta 10.04.2013 - 03:49
2
risposte

Un amministratore di applicazioni web può accedere al database di tale applicazione?

Abbiamo un'applicazione web collegata a un database. Il database è protetto ma contiene numeri riservati non mascherati. Può un normale amministratore che può accedere all'applicazione, accedere a quei numeri nel database? Si noti che non ci son...
posta 23.07.2013 - 10:15
4
risposte

Rischio di sicurezza dell'aggiunta di un'intestazione HTTP con identificatore del server

Stiamo per implementare un'applicazione web in una web farm di diversi server web. Durante i nostri test abbiamo riscontrato problemi in uno dei server ma non in altri. Molti di loro a causa di errori di configurazione nei server Web. L'ident...
posta 14.02.2013 - 16:24
3
risposte

È sicuro memorizzare gli hash di password eventualmente non esistenti in un modo meno sicuro?

Vorrei implementare un meccanismo di blocco che non solo protegge dallo stesso nome utente e da molti attacchi di password, ma anche molti nomi utente e gli stessi attacchi con password. Per implementarlo ho pensato di avere bisogno di una ta...
posta 04.09.2013 - 20:39
5
risposte

Dovrei aggiungere protezioni dove non capisco come l'hacker può rompere il sistema?

Diciamo che esiste un'applicazione AJAX in cui l'utente può inviare articoli: acquistali. E c'era un codice IF ($_POST[items] > 20) { echo 'error'; } else { do_buy($_POST[items]); echo 'success' } Qui c'è un controllo se it...
posta 13.07.2014 - 09:51
4
risposte

Memorizzazione di token anti-CSRF nel cookie

Genero un token anti-CSRF casuale per sessione e lo memorizzo in un cookie (con il flag http_only impostato). Quindi aggiungo quel token ai moduli (in un campo di input nascosto) e ai link. Quando si riceve una richiesta sul server, cont...
posta 18.03.2013 - 11:01