Domande con tag 'web-application'

2
risposte

Perché è pericoloso consentire tutti i caratteri in un URL?

Rivedendo la configurazione di CodeIgniter, ho visto la seguente riga: $config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-'; E la documentazione dice: /* |-------------------------------------------------------------------------- | Allowed U...
posta 10.08.2016 - 18:56
1
risposta

Lo stato di visualizzazione crittografato è vulnerabile?

Durante la lettura dello stato di visualizzazione come possibile mezzo per prevenire CSRF, mi sono imbattuto in questo Microsoft Bollettino sulla sicurezza che afferma: An attacker who successfully exploited this vulnerability could read...
posta 29.07.2013 - 19:37
1
risposta

Sta usando RC4-MD5 / RC4-SHA come crittografia SSL sufficiente per la maggior parte degli scopi?

Nell'ELB di AWS, ho caricato un certificato e selezionato solo " RC4-MD5 " + " RC4-SHA " come le cifre e il punteggio A nel < strong> ssltest [1] Se utilizzo l'impostazione ELB predefinita, posso solo segnare un C Dato che non sto facen...
posta 22.07.2013 - 19:11
3
risposte

Può "ricordarmi di me" fare in modo sicuro su un sito Web senza account?

Ho un sito Web che consente agli utenti di inviare un modulo senza dover creare un account ed effettuare l'accesso. Tuttavia, al fine di mantenere gli utenti responsabili delle proprie comunicazioni, il modulo richiede loro di fornire l'indirizz...
posta 16.12.2013 - 17:04
1
risposta

L'uso della creazione di un profilo firefox separato causa una protezione del contesto di sicurezza separata contro XSS e DNS Re-binding?

Ho letto qui che dovrei usare profili di sicurezza separati per diversi tipi di cose; accedere alle informazioni sensibili, fare amministrazione del sistema e aprire i collegamenti dalle e-mail. So che è possibile eseguire diverse istanze d...
posta 01.12.2015 - 15:08
2
risposte

Perché memorizziamo l'ID di sessione invece dell'ID utente nei cookie?

Non sarebbe meglio memorizzare l'id utente invece dell'ID di sessione in modo tale da cercare il database una sola volta per estrarre le informazioni di altri utenti invece di estrarre due volte l'ID utente dalla sessione db e poi l'utente db?...
posta 22.08.2018 - 18:55
3
risposte

Qual è la soluzione rapida per l'attacco CSRF?

L'applicazione è costruita in linguaggio Java e framework JSF. Ho segnalato un attacco CSRF e il team di sviluppo deve risolverlo presto da quando l'applicazione è in produzione. Ho raccomandato di utilizzare token CSRF ma il team di sviluppo...
posta 10.05.2018 - 13:34
2
risposte

Posso impedire a tutti i dipendenti di accedere ai dati dei clienti senza essere registrati (soprattutto IT)

Sto ospitando un'applicazione Web e un database SQL server su Azure e vorrei garantire che nessun individuo dell'azienda possa accedere ai dati dei clienti senza che l'accesso venga registrato. Sembra che con tutte le opzioni di sicurezza in Azu...
posta 27.01.2016 - 15:51
3
risposte

COME è l'URL / carico utile dannoso consegnato all'utente su un attacco XSS basato su DOM?

Test per DOM basato XSS su OWASP legge: The first hypothetical example uses the following client side code: <script> document.write("Site is at: " + document.location.href + "."); </script> An attacker may append #alert...
posta 27.10.2015 - 08:07
2
risposte

Memorizzazione di password di servizi di terzi (web app)

Ho un'app Web che include siti Web di terze parti negli iframe. I siti web di terze parti richiedono che l'utente abbia effettuato l'accesso. L'opzione A richiede all'utente di accedere a ciascun sito Web individualmente tramite iframe e fare af...
posta 03.03.2017 - 18:26