Domande con tag 'web'

domande con tag
1
risposta

Questa risposta è vulnerabile a xss?

La mia applicazione restituisce il parametro categoria nel corpo json come la seguente risposta .. HTTP/1.1 200 OK Content-Type: text/javascript; charset=utf-8 P3P: policyref="/w3c/p3p.xml", CP="CAO PSA OUR" Server: nginx X-frame-options: SAME...
posta 26.06.2017 - 17:55
1
risposta

JWT con SSL ha ancora bisogno della firma HMAC o RSA o sono solo paranoico?

Sto cercando di implementare un sistema di autenticazione / autorizzazione usando JWT per la mia applicazione web. I client vengono forniti con un token nel solito formato JWT dal mio server una volta che presentano le credenziali che controllo...
posta 31.01.2017 - 12:21
1
risposta

Qual è il rischio di attivazione di eventi e-mail illimitati?

Diciamo che posso attivare un evento di posta in alcuni scenari senza alcun limite su quel trigger. Ad esempio a: Registrazione Reimpostazione della password Sottoscrizione alla newsletter La "registrazione" e l'"iscrizione alla newsl...
posta 08.08.2016 - 11:34
0
risposte

Webauthn e binding del canale TLS

la mia comprensione è che webauthn supporta una varietà di schemi di autenticazione - non necessariamente FIDO2 / CTAP; è vero? in tal caso qual è l'API di webauthn che fornisce l'hook? Collegamento del canale TLS - di nuovo la mia compren...
posta 19.12.2018 - 14:02
1
risposta

Il login SMS telegram è sicuro?

TL; DR: Can 1) Un hacker casuale accede al mio account telegram inserendo il mio numero di telefono sul portale di autenticazione ufficiale di web.telegram.org e facendo hijhaking del codice SMS che invia? o 2) Un "ingegnere del telegramma" a...
posta 17.12.2018 - 20:23
1
risposta

Lo script incluso a distanza non può impostare le variabili di sessione

Sto provando a simulare un attacco di inclusione di file remoto sul mio server web locale come parte di un corso che sto seguendo. Ho avuto l'idea di essere in grado di "loggarmi" su un sito web che ho configurato senza realmente loggarmi tramit...
posta 10.10.2018 - 09:40
0
risposte

Isolamento dell'API per più applicazioni a pagina singola con lo stesso dominio

Ho un caso in cui voglio eseguire più applicazioni a singola pagina sullo stesso dominio. Queste app dovrebbero avere accesso a un set specifico di API. Esempio: myapp.example/profile : ospita l'app profilo myapp.example/api/pro...
posta 05.09.2018 - 16:01
0
risposte

Afferra l'IP del partner di chat Web WA con wireshark - qualche idea?

C'è un modo per afferrare l'IP delle rispettive controparti invocate in una chat P2P su WAWeb (sul lato che può essere sniffato) mettendo wireshark sulla linea e monitor - per quale tipo e pacchetti? Se capisco bene WA, la roba sta usando la cri...
posta 15.07.2018 - 08:22
0
risposte

È possibile eseguire un test di sicurezza dell'applicazione Web di base di un'applicazione Web da un file pcap

Ho cercato di eseguire il proxy di attacco zed su un'applicazione Web utilizzando alcuni test funzionali automatizzati. ZAP continua a non riuscire ad un certo punto a causa di eccezioni sslsocket (penso che a causa di effettuare richieste ai si...
posta 20.04.2018 - 20:32
0
risposte

posso usare openssl per generare un certificato ECC a 160 bit

Sto facendo alcuni test delle nuove impostazioni di sicurezza che escono nel prossimo set di patch java. Una delle nuove restrizioni è quella di non consentire chiavi ECC inferiori a 224 bit. Voglio generare un certificato ECC con un keysize più...
posta 26.02.2018 - 04:00