Domande con tag 'web-application'

2
risposte

Usa l'intestazione invece del cookie per i CSRF double submit cookies?

I cookie di invio doppio sono vulnerabili all'iniezione di cookie dallo stesso dominio. Cosa succede se utilizzo un'intestazione personalizzata anziché un cookie? Esempio di richiesta HTTP: header X-CSRF-PROTECTION = 5a445s66gg54s45a54 POST...
posta 27.01.2017 - 13:20
3
risposte

Usando GET per inserire nome utente / password? [duplicare]

Da quanto ho capito usando GET per inviare nomi utente / password è un problema di sicurezza perché il nome utente / password fanno parte dell'URL che può essere visualizzato nella cronologia del browser. Questo problema è ancora presente s...
posta 07.10.2013 - 18:29
3
risposte

Quali sono i vantaggi di un sistema di login a due pagine per una webapp?

Ho notato che molti siti web accedono a un sistema di login di due pagine ( non a due fattori) - dove inserisci il tuo nome utente a pagina 1 e fai clic su invia , e quindi inserisci la password a pagina due e fai clic su invia . Quali son...
posta 10.03.2014 - 19:25
2
risposte

Come posso dimostrare l'inclusione di file remoti tramite metodi get

Ho testato la mia applicazione web PHP per le vulnerabilità RFI. Mentre eseguivo la scansione, ero in grado di eseguire l'RFI nella mia applicazione web. Scenario: Nella mia applicazione web RFI funziona solo quando era presente la session...
posta 08.03.2016 - 08:16
2
risposte

Verifica a due fattori senza un telefono cellulare?

Al momento, alcuni servizi utilizzano un secondo livello di attivazione se si effettua l'accesso da un nuovo dispositivo: Gmail e Facebook inviano un messaggio o una chiamata con un codice Facebook genera un codice nell'applicazione mobile...
posta 05.09.2014 - 14:36
1
risposta

Problemi CSRF nell'app web "stateless"?

Quindi ho sviluppato un'applicazione web, che ha anche un'API. L'API supporta sia le richieste GET che POST. L'API è completamente senza stato, significa che nulla viene memorizzato o modificato in un database / file quando lo si utilizza. L'...
posta 12.12.2015 - 23:39
2
risposte

Permettere al tag cite di creare vulnerabilità XSS?

Backstory: il parser di markdown di Stack Exchange consente di utilizzare un paio di tag HTML ( a,b,i,img ), con alcune restrizioni sugli attributi per impedire XSS. Stiamo pensando di richiedere il tag <cite> per essere autoriz...
posta 13.03.2014 - 21:50
2
risposte

Metodologie di test della sicurezza API

Ho incontrato sempre più clienti che necessitavano dei loro endpoint API (di solito REST) testati per le vulnerabilità e volevano raggiungere se qualcuno avesse delle raccomandazioni al di là di quello che stavo facendo. Conosco molto bene il...
posta 05.02.2014 - 23:34
1
risposta

Quali sono le implicazioni per la sicurezza di abilitare CORS per le immagini?

La società per cui lavoro gestisce un server fotografico con profilo utente. Vorrei recuperare, modificare visivamente (aggiungere una sfocatura, alcuni effetti, ecc.) E visualizzare quelle immagini in <canvas> . Il problema è che il s...
posta 27.05.2016 - 18:09
1
risposta

Chiamando le funzioni JavaScript dall'interno di un tag stile XSS

Ho identificato un XSS in un'applicazione di un cliente in cui non è riuscito a disinfettare correttamente una variabile. L'applicazione, tuttavia, è scritta in ASP.NET 2.x e hanno la convalida della richiesta attivata. Sono a conoscenza dell...
posta 16.09.2013 - 23:22