Domande con tag 'web-application'

2
risposte

payload XSS con una restrizione di dieci caratteri

C'è un campo di input che non viene codificato sul lato server. Ma se dai un intero script diciamo <img src=a onerror=alert(1)> , mostra un errore del tipo: <img src=a....' non è un valore valido. Non sono a conoscenza di al...
posta 18.06.2016 - 21:45
2
risposte

Sistema per l'autenticazione sicura dell'acquisizione di contenuto

Ho problemi a progettare un sistema per contenuti autenticati dal mio sito distribuiti da altre persone. Sto lavorando su Ruby on Rails, ma non penso che a livello teorico la mia domanda non sia ristretta a quel framework. Per non dare troppo sp...
posta 29.09.2013 - 19:58
2
risposte

Rischi per un nuovo tipo di funzionalità di accesso al sito web

Quale potrebbe essere un rischio per la sicurezza di una funzionalità del sito web che ti consente di connetterti al tuo account senza digitando la tua password, dato che hai permesso un accesso per il prossimo 10 secondi da un secondo protett...
posta 26.08.2013 - 16:58
5
risposte

Come difendere CSRF contro richieste che fingono di non essere browser?

So che ci sono una miriade di difese contro gli attacchi CSRF. CSRF, tuttavia, è strettamente una vulnerabilità del browser e qualsiasi richiesta proveniente da un browser diverso è "automaticamente" (e giustamente) consentita. Ma ... come fa...
posta 07.12.2016 - 13:28
2
risposte

Perché un sito richiede che le password siano costituite solo da cifre?

Il sito di internet banking della mia banca applica una politica piuttosto strana: non ti consente di impostare una password che contenga cifre diverse da quelle in essa contenute. L'unica ragione che posso immaginare è che non stanno usando una...
posta 28.07.2016 - 16:05
5
risposte

Avviso software dannoso dal Dipartimento della salute e dei servizi umani degli Stati Uniti

Ho ricevuto una mail da un determinato team di risposta agli incidenti di sicurezza per conto di un dipartimento degli Stati Uniti e dice: The below URL is currently being used to deliver a payload of malicious software to a visiting victim...
posta 23.12.2016 - 08:02
4
risposte

Domanda su informazioni recuperate da sistemi che potrebbero potenzialmente portare a exploit

Di solito si consiglia, quando si vuole proteggere un'applicazione, di "fornire" come poche informazioni, o meglio ancora, nessuna informazione a utenti non autorizzati (possibilmente malevoli). Sto pensando a informazioni come OS, versione dell...
posta 08.07.2011 - 23:31
2
risposte

Gli invii di moduli su HTTPS non sono crittografati?

La mia domanda riguarda l'invio di moduli HTTPS. Uno dei nostri siti Web utilizza HTTPS, visualizziamo la pagina di accesso all'utente tramite il protocollo HTTPS. Quando il modulo viene inviato, se proviamo a intercettare la richiesta utiliz...
posta 19.01.2014 - 15:57
2
risposte

Revisione della sicurezza delle applicazioni web in scatola - legalità? [chiuso]

è legale effettuare una revisione della sicurezza / pentazione di un'applicazione web che abbiamo acquistato e utilizzato sui nostri server? Significa che l'intera infrastruttura è nostra + abbiamo acquistato una licenza per il software. Possiam...
posta 05.05.2014 - 14:07
5
risposte

È sbagliato raccogliere e archiviare gli indirizzi IP?

Sto sviluppando un programma di analisi PHP. Sto usando gli indirizzi IP per ottenere il suo paese corrispondente. Mi stavo chiedendo se è OK per memorizzare sia l'indirizzo IP e il Paese o se è meglio se ho appena archiviato il paese in un data...
posta 20.07.2012 - 22:17