Domande con tag 'web-application'

2
risposte

Integrazione del gateway di pagamento, eventuali considerazioni sulla sicurezza?

Sono interessato a capire quali considerazioni di sicurezza ci sono intorno all'implementazione di un gateway di pagamento. Finora ho pensato a: avere un certificato SSL è un MUST. le azioni di registrazione sono fondamentali. un databas...
posta 19.09.2011 - 17:41
2
risposte

Protezione dei dati dell'utente contro un utente malintenzionato che può ottenere root del server

Sto progettando un'applicazione web che gestirà dati molto sensibili, archiviandola per conto dei suoi utenti. Una specie di cassastrong online, se vuoi. I dati protetti di un utente dovrebbero essere visibili solo a lei, nemmeno al software...
posta 07.11.2014 - 23:51
3
risposte

Posso usare tranquillamente un parametro URL criptato per l'ID di sessione?

Sto pianificando di inviare l'ID di sessione di un utente come parametro URL che verrà crittografato con AES. Non penso che la mia app abbia problemi di condivisione dei link. Questa idea è fattibile? È sicuro?     
posta 10.05.2013 - 19:59
4
risposte

Ignorando la convalida dell'input dell'applicazione Web

Un utente malintenzionato può utilizzare Base-64 o altri schemi di codifica per bypassare la convalida dell'input dell'applicazione Web o per ignorare alcuni firewall di applicazioni Web esterne. Dato che questi schemi di codifica sono infiniti,...
posta 16.04.2013 - 19:04
1
risposta

Exchange / OWA può ancora comprimere le immagini statiche ed essere immune agli attacchi di compressione HTTP?

Microsoft Exchange / OWA (Outlook Web Access) consente tre diversi tipi di compressione (collegamento per Ex2010 ) Compression setting Description High Compresses both static and dynamic pages. Low Compr...
posta 02.08.2013 - 18:27
2
risposte

Gestione e distribuzione di password per le app Web

Quali sono alcune best practice per la gestione e la distribuzione di password per app Web e chiavi private? Per esempio. la password per accedere a un database o servizi esterni come l'API di Facebook. Mi riferisco in genere all'utilizzo di har...
posta 19.11.2013 - 19:49
2
risposte

Quale tipo di informazioni dovrebbero essere mostrate a un utente finale per un riepilogo della sessione di accesso?

Google , Yahoo, Facebook e diverse banche hanno una schermata di riepilogo della sessione che elenca una varietà di informazioni, ma non sono coerenti in ciò che viene offerto all'utente finale. per es. Facebook offre una lista concisa d...
posta 12.11.2013 - 22:14
1
risposta

Numero ID sessione ripetuto sotto mac

Ho eseguito un test di penetrazione su un server web. Per generare ID di sessione con questo script Bash: #! /bin/bash NUMBEROFSESSIONS=3000 for i in $(seq 1 ${NUMBEROFSESSIONS}) do curl -s -c cookie 'URL' 1> /dev/null # URL is the address...
posta 29.10.2013 - 17:42
5
risposte

Esiste un modello di controllo dell'accesso definito in termini di struttura dell'applicazione?

Sto lavorando al componente di controllo degli accessi di un'applicazione web complessa. Uno degli obiettivi è avere un modello rigorosamente definito per chi può fare cosa, ma non riesco a trovare un modello esistente che soddisfi i nostri biso...
posta 24.07.2012 - 16:40
2
risposte

Vulnerabilità HTML

La mia domanda è triplice. Sfondo Mi è stato chiesto di eseguire alcune scansioni di vulnerabilità su un sito Web con alcuni buchi (credo). In una pagina particolare, sono riuscito a scappare dal campo di testo e scrivere sul sito. Se ho l...
posta 04.02.2012 - 13:50