Esistono numerosi strumenti IAST disponibili sul mercato come Acunetix Web Vulnerability Scanner e HP WebInspect in tempo reale .
Quanto sono efficaci questi nella ricerca di vulnerabilità? C'è qualche prova che questi possono trovare più o...
Ho trovato un bug xss all'interno dell'intestazione user-agent in un sito di acquisto / vendita popolare, e dopo averlo segnalato a loro, hanno risposto che non è pericoloso in quanto non può essere sfruttato senza l'interazione dell'utente (c...
È una cattiva idea dal punto di vista della sicurezza ospitare sia un sito web pubblicamente accessibile che un sito Web che è destinato a essere utilizzato internamente sullo stesso server? Ovviamente il server Web sarebbe configurato per conse...
C'è un vantaggio di sicurezza nel richiedere una richiesta di conformità a / api / 1234 invece di / api / me? Entrambi avrebbero ovviamente token di accesso.
La mia ipotesi è che api / 1234 sia più sicuro perché se qualcuno si impossessa di u...
Nella nostra applicazione, un utente seleziona le risposte alle domande. Il loro punteggio si basa sul tempo impiegato per rispondere a ogni domanda fino a un decimo di secondo. Il server è responsabile del calcolo e della memorizzazione del pun...
In questi giorni Google Analytics utilizza una richiesta JSONP per caricare ga.js nelle pagine Web degli utenti tramite una funzione di callback. Secondo Wikipedia, JSONP può "iniettare qualsiasi contenuto in un sito web."
Che cosa significa...
In foglio cheat OWASP XSS è scritto
In addition to the 5 characters significant in XML (&, <, >, ", '), the forward slash is included as it helps to end an HTML entity.
Quindi le escaping consigliate sono
& --> &a...
Quindi ho cercato di imparare il più possibile sulla tokenizzazione JWT e auth0 sembra essere il vero hub di informazioni JWT.
Tuttavia, più leggo sui token di aggiornamento, più mi cruccio: l'idea stessa di un "infinitamente" aggiornabile (o...
In che modo i prodotti SaaS di CI si proteggono dai cattivi attori? Quando un server CI crea e verifica codice arbitrario, come possiamo essere sicuri che questo codice non sia un qualche tipo di exploit? Le aziende di CI come Travis sono intrin...