Domande con tag 'web-application'

1
risposta

Devo evitare di distribuire i file package.json o bower.json in produzione?

So che è consigliabile nascondere le informazioni sulla versione del sistema operativo e del server quando si pubblicano pagine Web. Che dire delle informazioni sulla versione della libreria js contenute nei file package.json o bower.json? Sembr...
posta 09.03.2017 - 19:08
2
risposte

La seguente soluzione di autenticazione è sicura o mi manca qualcosa?

Contesto: Ho due server Web ServerA (stack LAMP) e ServerB (stack ASP.NET). Penso che la tecnologia (si spera) non abbia importanza. Entrambi i server richiedono l'autenticazione e presumibilmente fanno bene il loro lavoro, se non è fuori a...
posta 22.03.2016 - 14:16
2
risposte

Monitoraggio della vulnerabilità nella libreria del software

Sto cercando di migliorare l'aspetto della sicurezza di un'app Web in particolare rispetto a OWASP A9 - Utilizzo di componenti con vulnerabilità note. Qualcuno è a conoscenza di qualsiasi fonte di dati completa oltre al DB NVD / CVE che potre...
posta 05.04.2016 - 16:12
2
risposte

Registrazione senza verifica quando l'utente è stato invitato?

La tipica procedura di registrazione è ovviamente: Alice immette l'indirizzo email e la password desiderata (e possibilmente altri dati). Viene inviata un'email di verifica all'indirizzo fornito da Alice. Alice conferma il suo indirizzo...
posta 05.07.2016 - 14:08
2
risposte

Problemi con l'utilizzo dell'ID sessione TLS per la sessione di app Web?

Apache Tomcat ha la capacità di utilizzare l'ID sessione TLS invece di un cookie di sessione o JSESSIONID nella querystring. Il mio sito è HTTPS Ovunque. Questo sembra utile in quanto non devo preoccuparmi del furto dei cookie di sessione, e...
posta 20.02.2015 - 19:45
1
risposta

La conseguenza della sicurezza del buco Javascript in una chat online?

Per una chat online che consente l'HTML di base, cosa succede se lasciano un modo aperto a un potenziale hacker di eseguire javascript su tutti gli utenti della chat? Qual è la cosa peggiore che potrebbero fare?     
posta 02.06.2013 - 01:29
1
risposta

Memorizzazione chiavi di licenza

Sto creando un'applicazione che genera una chiave di licenza e la memorizza in un database (le licenze sono controllate online). Non desidero archiviare queste licenze senza alcuna interruzione, nel caso in cui il database venga rubato. Tutta...
posta 30.09.2012 - 18:02
5
risposte

Come proteggere un back-end del server

Sto sviluppando un server che ha due scopi: è un CMS per le persone che utilizzano e mantengono alcuni dati e un servizio Web per un'app mobile per ottenere questi dati. Funziona su un server Debian che esegue Tomcat 6 (utilizzando Java / JSP) s...
posta 12.08.2012 - 21:11
1
risposta

Qual è la differenza tra l'inclusione di file locali (LFI) e l'inclusione di file remoti (RFI)?

Basato su questa domanda precedente , sembra che la differenza tra l'attraversamento della directory e l'inclusione dei file sia la seguente: Attraversamento directory La convalida errata dell'input dell'utente conduce a accesso in le...
posta 05.12.2017 - 17:59
1
risposta

CodeIgniter CSRF confusione

Ho lavorato con CodeIgniter per circa 3 settimane e sto molto bene sulla strada per amare questo framework. Comunque ho visto il codice core del framework e stavo leggendo la protezione CSRF. Ho notato (la mancanza di) rigenerazione CSRF. Tutto...
posta 18.02.2013 - 22:38