Domande con tag 'web-application'

1
risposta

Questa procedura "password dimenticata" è sicura / legale?

Recentemente, avevo perso la mia password su un'app Web che dovrebbe essere veramente sicura (si pensi all'app Web di tipo banca o pubblica). Questa app web contiene molte informazioni critiche personali (come SSN e stipendio, ma legalmente)....
posta 14.09.2018 - 12:10
1
risposta

L'array PHP indesiderato per convertire le stringhe è un rischio per la sicurezza?

Durante un test di penetrazione ho notato che cambiando alcuni dei parametri GET HTTP dalle stringhe previste agli array usando ?test[]=1 invece di ?test=1 . In PHP ciò risulta in un modo o in un errore o in una conversione Array / Stri...
posta 21.06.2017 - 14:41
3
risposte

Come crittografare i dati sensibili nel database di un'app Web?

Il database della mia app web memorizza i dati sensibili. Un utente malintenzionato non dovrebbe avere accesso a questi dati se ottiene l'accesso al database. Ecco perché voglio crittografare questi dati sensibili nel database. Per prima cosa...
posta 28.07.2017 - 22:41
1
risposta

Il trasferimento dei dati della carta crittografata attraverso un server significa che il server deve essere conforme PCI?

Sto tentando di configurare una rete di applicazioni Web che forniscono tutti un qualche tipo di sistema di acquisto. Per evitare di dover eseguire scansioni di vulnerabilità su ogni server di applicazioni Web, vorrei invece assegnare a ogni app...
posta 11.04.2017 - 12:35
1
risposta

Perché i nomi delle classi dovrebbero essere inseriti nella whitelist?

Sto utilizzando la accetta la nota strategia di convalida per sanare l'input dell'utente (rich HTML) e sono utilizzando un componente di terze parti per farlo. Per impostazione predefinita, il componente richiede che ogni nome di classe con...
posta 12.10.2017 - 06:57
1
risposta

Perché i PHP $ _REQUEST sono considerati malvagi?

In base al foglio cheat OWASP PHP : Using $_REQUEST is strongly discouraged. This super global is not recommended since it includes not only POST and GET data, but also the cookies sent by the request. All of this data is combined into one...
posta 12.10.2017 - 13:20
1
risposta

Security-by-design basato su un framework esistente o su un design personalizzato?

Personalmente faccio la maggior parte dello sviluppo in PHP (il linguaggio di programmazione non ha molta importanza per questa domanda). I framework PHP più popolari lungo gli sviluppatori sono ad esempio: CodeIgniter Laravel Symfo...
posta 03.08.2016 - 13:49
1
risposta

In che modo il "post / redirect / get pattern" migliora la sicurezza?

In che modo lo schema "post / redirect / get" (PRG) migliora la sicurezza? Vedo il principio della "conferma attraverso la ridondanza" in gioco, ma non capisco come potrebbero controbilanciare i rischi. Come sviluppatore di rete, vedo un'oppo...
posta 19.05.2017 - 21:48
2
risposte

Una pagina di ricerca vulnerabile a XSS interesserà altri utenti?

Se riesco a inserire javascript in una barra di ricerca del sito Web che eseguirà il javascript nella pagina dei risultati, viene eseguito solo sulla mia sessione locale nel mio browser, giusto? Quindi, a meno che il sito non memorizzi la mia qu...
posta 08.11.2016 - 20:17
1
risposta

Qualsiasi vulnerabilità di sicurezza che utilizza i nomi file generati dal database?

Ok, per esempio, dì che hai le impostazioni memorizzate in un database in cui l'utente seleziona la lingua del sito. Ad esempio, supponiamo che la lingua scelta sia Inglese e ora abbia un'impostazione di en . Quindi all'interno del t...
posta 21.11.2016 - 20:06