Domande con tag 'appsec'

domande con tag
3
risposte

Come viene impedito il "Touch Jacking" su iOS, Android e Win 10 - touch?

Sto osservando la sicurezza di iOS e Android da una prospettiva di sicurezza di Touch-jacking. In altre parole, mi aspetto che un'applicazione possa essere in uno stato sicuro per garantire che nessuna sovrapposizione, acquisizione dello schermo...
posta 19.08.2015 - 03:04
1
risposta

Quali sono i dettagli di implementazione e le motivazioni di AntiForgeryToken di ASP.NET MVC3?

AntiForgeryToken viene utilizzato per prevenire gli attacchi CSRF, tuttavia i collegamenti su MSDN non mi forniscono informazioni dettagliate su cosa fa esattamente AntiForgeryToken o su come funziona, o perché le cose sono fatte come sono. D...
posta 06.02.2011 - 18:03
1
risposta

Quali sono le implicazioni sulla sicurezza dell'installazione di un profilo di configurazione dell'iPhone?

Quali sono i rischi per la sicurezza dell'installazione di un "profilo di configurazione" su iOS da www.vshare.com ? Non so cosa sia un profilo di configurazione o cosa faccia. Si trovano in Impostazioni > Generale > Profili e amp; Ges...
posta 09.03.2016 - 21:54
0
risposte

La manipolazione della cronologia dei siti incrociati (XSHM) è ancora pertinente?

XSHM è una vulnerabilità che sfrutta il fatto che l'oggetto della cronologia del browser non segue lo stesso Politica di origine e quindi rintracciando le modifiche apportate a questo oggetto potremmo essere in grado di monitorare le attività...
posta 19.02.2018 - 08:07
1
risposta

Splitting risposta HTTP in pratica

Hai mai visto la divisione della risposta HTTP in ambiente di laboratorio? Esistono molti esempi di vulnerabilità di HTTP Response Splitting. Ho usato il vecchio PHP e sono riuscito a ottenere 2 risposte dal server che sono visibili in wi...
posta 31.08.2015 - 08:28
3
risposte

Questo attacco al concetto funziona per raccogliere credenziali e 2FA utilizzando un sito falso offline?

Il mio concetto è questo: Il client si connette a Malicious \ Eviltwin AP Il client si connette a www.facebook.com ma questo è un falso sito offline dal server falso DNS Il cliente inserisce l'utente e la password --- > l'utente...
posta 20.10.2015 - 12:07
0
risposte

Moderna alternativa per le password [chiuso]

Oggi - ho visto una domanda su utilizzo delle password nelle automobili . Abbiamo sviluppato qualcosa oltre alle password per l'IT? C'è qualche altra soluzione là fuori per il mio utente comune-folk-direct-to-business-power-paying-user? Oltre a...
posta 20.08.2015 - 20:49
4
risposte

Risanamento SQL query (lista nera)

Ho il seguente problema / sfida: L'applicazione Web (ASP.NET 3.5) installata sulla LAN aziendale e funzionante su DB SQL Server deve fornire la possibilità di generare report personalizzati. Questi report possono essere fondamentalmente quals...
posta 18.01.2012 - 09:27
2
risposte

getlogin vulnerabile

Leggevo " Una tassonomia degli errori di codifica " e ho un dubbio sul punto citato in C / C ++ > > Abuso di API > > Spesso utilizzato in modo errato: autenticazione (getlogin). Non riesco a capire il vettore di attacco menzionato...
posta 15.03.2012 - 19:23
2
risposte

Perché OWASP ASVS richiede che le risposte HTTP abbiano un'intestazione di contenuto che specifica un set di caratteri?

Lo standard di verifica della sicurezza delle applicazioni OWASP ( ASVS ), versione 3, afferma nella clausola V11.2: Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8, ISO 8859-1)....
posta 04.05.2016 - 21:38