salve a tutti
La mia ditta ha ricevuto una mail in quanto da un test il software risulta potenzialmente a rischio :
"dalle analisi di sicurezza si riporta che il SW utilizza API esposte che possono essere sfruttate da eventuali tipologie di attacco invasivo. Pertanto il programma non presenta i requisiti di sicurezza attinenti alle policy interne "
Non sono stati dettagliati su DOVE si trova la falla ma penso che parlino del servizio web,
attualmente faccio delle chiamate ajax del tipo
codice:
$.ajax({
"dataType": 'json',
"contentType": "application/json; charset=utf-8",
"dataType": "json",
"type": "POST",
"url": "Servizio.asmx/VisualizzaDescFromCodice",
"data": "{'CodiceBarre': '" + CodiceBarre + "'}", // params,
"success": function (data) {
//alert(data.d);
//alert(JSON.stringify(data));
return data.d;
}//success
chiedo suggerimenti per aumentare la sicurezza
cosa devo implementare? cosa fare in mdoo che solo gli javascript accedino?
grazie
ho appena aggiunto questo nel web.config, pensate possa bastare?
codice:
<authentication mode="Forms">
<forms name=".ASPXFORMS" loginUrl="Login.aspx" protection="All" path="/" timeout="30"/>
</authentication>
<authorization>
<allow users="*"/>
<deny users="?" />
</authorization>