Domande con tag 'web-application'

1
risposta

Strumento di buona sicurezza per PHP- Suhosin vs Spike vs PHPIDS

Devo controllare / testare il mio codice in anticipo, o questi strumenti mi informano quando viene effettuato un tentativo in tempo reale? In secondo luogo, quale dovrei scegliere - Suhosin o Spike o PHPIDS o una combinazione? Quali sono le diff...
posta 27.01.2011 - 05:39
5
risposte

L'invio di password semplici su SSL come parte di un processo di aggiornamento della password è errato?

L'applicazione Web su cui sto lavorando è protetta al 100% da SSL (o meglio da TLS come viene chiamato oggi ...). L'applicazione è stata recentemente verificata da una società di sicurezza. Sono per lo più d'accordo con i loro risultati, ma c'è...
posta 19.06.2014 - 17:49
2
risposte

Generazione di token unici da chiave API?

Ho un sito web per il quale sto costruendo un modulo Drupal che consente agli utenti di quel sito Drupal di navigare sul mio sito web direttamente dal sito di Drupal. Ho intenzione di distribuire chiavi API segrete a ciascuno degli amminist...
posta 07.04.2011 - 13:47
1
risposta

Le regole anti-XSS di Web Application Firewall interrompono la logica di business?

Ho letto di Web Application Firewall in un MOOC e l'esempio fornito è che il WAF può filtrare una richiesta come ?user=<script per evitare potenziali attacchi XSS. Ma cosa succede se una pagina web dell'applicazione consente di vedere...
posta 10.10.2017 - 11:14
1
risposta

Progetta una webapp che usi OAuth, ma con token che non possono essere usati dall'operatore?

Mi piacerebbe creare una webapp che permetta agli utenti di OAuth with Stack Exchange , in modo che possano eseguire azioni come votare attraverso l'app. Tuttavia, a un certo punto sono bloccato: so come eseguire OAuth, ma molti utenti non v...
posta 11.02.2014 - 19:22
1
risposta

Mostrando il numero di conto corrente bancario / account e archiviandoli in modo sicuro

EDIT: questo è per la regione UK / Europa. Mi sono grattato la testa leggendo altri post simili a questo riguardo alla memorizzazione sicura del routing della banca e dei numeri di conto. So che i numeri di routing possono essere in chiaro in...
posta 27.04.2015 - 13:09
4
risposte

Protezione contro CSRF quando un modulo viene inviato tramite una chiamata AJAX

Uso i token anti-CSRF su tutti i miei moduli per prevenire gli attacchi CSRF. Inoltre, i token vengono salvati nella variabile $ _COOKIE per convalidare il valore ottenuto dal modulo. Sto reimpostando il token ogni volta che viene caricato un mo...
posta 10.09.2012 - 22:59
1
risposta

SQL Injection - UNION SELECT e restituisce una 'parola chiave' per trovare colonne sfruttabili

Ho un problema che spero che qualcuno possa aiutare riguardo all'uso di UNION SELECT , in modo script / automatizzato per trovare le colonne che sono sfruttabili (avendo già trovato il numero di colonne usando ORDER BY ) Fai questo m...
posta 04.04.2013 - 16:32
3
risposte

Come gestire le informazioni personali identificabili (PII) come avvio?

La mia startup si trova finalmente di fronte alla potenziale responsabilità della gestione delle PII, e ci preoccupiamo di farlo correttamente dal punto di vista del rischio ma anche di farlo correttamente. Quale sarebbe l'approccio migliore...
posta 25.09.2017 - 20:07
1
risposta

In che modo esattamente Burp Sequencer calcola i valori che deriva?

Sto testando un'applicazione Web basata su SAP per un cliente. Uno dei controlli che facciamo normalmente è quello di analizzare il cookie che contiene il token di sessione per assicurarsi che sia sufficientemente casuale e non è possibile predi...
posta 30.01.2013 - 08:23