Domande con tag 'web-application'

1
risposta

Conserva in modo sicuro le credenziali per i servizi di applicazioni Web in Apache

Stiamo eseguendo un'applicazione web in python usando wsgi con apache2 e dobbiamo sottoporti a un test di penetrazione. I tester esploreranno il potenziale di danno se gli aggressori ottengono l'accesso alla shell come utente apache. Attualme...
posta 13.06.2012 - 20:46
1
risposta

Accesso cross-site lato client in ambiente SSL - quando è ancora possibile farlo?

Sto cercando di immaginare un ambiente sicuro in modalità sandbox per un'applicazione che è grande e inesplorata e potrebbe contenere backdoor. Viverebbe in ambiente chroot / virtuale senza connessioni in uscita abilitate, e tutte le connessioni...
posta 10.08.2012 - 17:18
3
risposte

Test di penetrazione delle app Web

Ho un sito web statico che deve essere controllato. Ha solo un modulo che aggiorna alcuni dati sul server e lo ho ripetuto con un'iniezione cieca di PHP e SQL. Il sito è ospitato su un server condiviso e ha cpanel. Come dovrei andare sul pent...
posta 28.10.2012 - 09:21
1
risposta

Come determinare il livello di sicurezza richiesto per questo tipo di sito?

Ecco le principali aree del sito che potrebbero diventare un problema di sicurezza: Il sito funziona come un sistema di contabilità generale contro l'azienda e i suoi utenti. Il sistema di contabilità generale tiene traccia dei piccoli...
posta 12.10.2012 - 23:56
1
risposta

Le diverse app Web in esecuzione su VDS hanno un proprio account utente?

Ho distribuito la mia seconda app per rails sul mio VDS con capistrano. Devo configurare il server delle applicazioni in modo che venga eseguito come utente diverso o uguale alla prima applicazione? Se eseguo applicazioni come utenti diversi,...
posta 04.09.2012 - 14:35
1
risposta

Autenticazione sicura per l'utente Web anche dopo la compromissione del database lato server

Ormai, dovremmo sapere tutti usare bcrypt o scrypt per archiviare gli hash delle password salate con un numero sufficiente di round. (Vedi, ad esempio, link ) La lezione: supponiamo che il tuo database di autenticazione sarà compromesso ad un c...
posta 05.10.2012 - 19:50
1
risposta

Autenticazione degli utenti su dispositivi offline come ipad

Vogliamo autenticare l'utente all'interno di una webapp (JavaScript / HTML all'interno del browser) in esecuzione su un tablet, ma vogliamo essere in grado di farlo quando il dispositivo è offline dalla rete. Mi rendo conto che non è già un ambi...
posta 08.06.2013 - 11:55
1
risposta

CAPTCHA abbastanza da ostacolare l'enumerazione degli utenti?

Dire che ho un sito che ha un processo di registrazione dell'utente in cui, quando un utente immette un indirizzo e-mail già in uso, viene visualizzato un messaggio di errore che lo informa. Questo sembra un modo semplice per un utente malintenz...
posta 25.07.2013 - 17:16
1
risposta

Se ogni richiesta Web viene registrata

Vedo spesso che è consigliabile registrare l'IP dell'utente. Ho pensato di allegare queste informazioni al record di sessione nel database, ma l'IP può cambiare durante la vita di una sessione. E se l'utente preferisce mantenere la sessione aper...
posta 05.01.2017 - 13:32
2
risposte

Utilizzo di AES per la sicurezza degli oggetti

Sto cercando di creare una soluzione di automazione domestica con il seguente caso d'uso L'utente si registra sul server con nome utente e password_a L'utente imposta password_b per dispositivo IoT La connessione tra utente e s...
posta 24.08.2016 - 03:13