Domande con tag 'web-application'

4
risposte

Efficacia dei test di sicurezza delle applicazioni interattive

Esistono numerosi strumenti IAST disponibili sul mercato come Acunetix Web Vulnerability Scanner e HP WebInspect in tempo reale . Quanto sono efficaci questi nella ricerca di vulnerabilità? C'è qualche prova che questi possono trovare più o...
posta 04.04.2014 - 15:23
1
risposta

E 'possibile sfruttare XSS all'interno dell'intestazione User-Agent? [duplicare]

Ho trovato un bug xss all'interno dell'intestazione user-agent in un sito di acquisto / vendita popolare, e dopo averlo segnalato a loro, hanno risposto che non è pericoloso in quanto non può essere sfruttato senza l'interazione dell'utente (c...
posta 02.03.2013 - 18:28
1
risposta

Pericoli di ospitare un'applicazione Web interna su un server Web pubblico?

È una cattiva idea dal punto di vista della sicurezza ospitare sia un sito web pubblicamente accessibile che un sito Web che è destinato a essere utilizzato internamente sullo stesso server? Ovviamente il server Web sarebbe configurato per conse...
posta 27.09.2013 - 23:49
2
risposte

C'è un vantaggio di sicurezza nel richiedere un id utente invece di solo / me in una richiesta API?

C'è un vantaggio di sicurezza nel richiedere una richiesta di conformità a / api / 1234 invece di / api / me? Entrambi avrebbero ovviamente token di accesso. La mia ipotesi è che api / 1234 sia più sicuro perché se qualcuno si impossessa di u...
posta 09.10.2013 - 16:34
1
risposta

Sicurezza dei plug-in di accesso / permessi utente rails

Mi chiedevo se qualcuno sa qual è il plugin di accesso utente più sicuro per Rails, e se qualcuno di questi impedisce la fissazione della sessione?     
posta 05.12.2010 - 23:03
2
risposte

Come posso convalidare che i dati sensibili al tempo provengano da un'app mobile e non vengano falsificati?

Nella nostra applicazione, un utente seleziona le risposte alle domande. Il loro punteggio si basa sul tempo impiegato per rispondere a ogni domanda fino a un decimo di secondo. Il server è responsabile del calcolo e della memorizzazione del pun...
posta 01.05.2014 - 01:38
1
risposta

Uso di Google Analytics di JSONP, quali sono i rischi per la sicurezza?

In questi giorni Google Analytics utilizza una richiesta JSONP per caricare ga.js nelle pagine Web degli utenti tramite una funzione di callback. Secondo Wikipedia, JSONP può "iniettare qualsiasi contenuto in un sito web." Che cosa significa...
posta 25.07.2015 - 10:45
1
risposta

Quali sono gli esempi di XSS (o altri attacchi) usando solo "barra in avanti"? [duplicare]

In foglio cheat OWASP XSS è scritto In addition to the 5 characters significant in XML (&, <, >, ", '), the forward slash is included as it helps to end an HTML entity. Quindi le escaping consigliate sono & --> &a...
posta 29.11.2016 - 18:18
1
risposta

Pensieri sulla mia implementazione JWT

Quindi ho cercato di imparare il più possibile sulla tokenizzazione JWT e auth0 sembra essere il vero hub di informazioni JWT. Tuttavia, più leggo sui token di aggiornamento, più mi cruccio: l'idea stessa di un "infinitamente" aggiornabile (o...
posta 08.04.2016 - 02:13
1
risposta

Integrazione continua Considerazioni sulla sicurezza SaaS

In che modo i prodotti SaaS di CI si proteggono dai cattivi attori? Quando un server CI crea e verifica codice arbitrario, come possiamo essere sicuri che questo codice non sia un qualche tipo di exploit? Le aziende di CI come Travis sono intrin...
posta 07.04.2016 - 09:16