Domande con tag 'appsec'

domande con tag
1
risposta

Perché lo scripting cross-site in URL è pericoloso se non utilizzo i cookie? [duplicare]

Attualmente ho un problema con XXS in questo sito. https://bbcpanningen.cupweb6.nl:1311/servlet/OMSALogin?msgStatus="><script>alert("hello") </script> Ma non capisco come un aggressore possa sfruttarlo. I siti non utilizza...
posta 12.11.2013 - 20:36
1
risposta

Può un testo di pagina web salvato in macchine di compromissione di file pdf

Sto facendo una valutazione della sicurezza in cui una pagina web ha dei campi se noi trasmettiamo i dati in essi pdf è generato al backend, è possibile inviare del testo dannoso che verrà in pdf e può compromettere la macchina dell'utente o di...
posta 21.09.2016 - 13:20
2
risposte

XSS nella richiesta GET non decodificata sul back-end

Quindi sono abbastanza sicuro di conoscere la risposta a questa domanda, ma voglio essere sicuro al 100%, quindi sto cercando qualche input qui. Una vulnerabilità è stata segnalata a un mio sito che assomiglia a questo: GET mysite.com/page<...
posta 31.03.2016 - 21:03
3
risposte

Enumerazione dei parametri del metodo API tramite browser Web

Sono obbligato per contratto a impedire l'enumerazione dei parametri di un metodo API ma non riesco a raggiungerlo. Quando invio una richiesta vuota al server API in un browser Web, il server risponde con i parametri esatti richiesti da quel...
posta 09.12.2015 - 11:52
2
risposte

È compatibile PCI / kosher inviare un numero di carta di credito a un server di terze parti da un client mobile?

Sto costruendo un'app mobile e parte della funzionalità dell'app è di effettuare un ordine con una terza parte. Il server di terze parti accetta una stringa di numero di carta di credito. Posso creare un client mobile per interagire con quel ser...
posta 30.10.2015 - 23:01
1
risposta

Sulla capacità di decodificare l'API privata di Instagram

Mi sono imbattuto in questi post del blog in cui un utente è riuscito a estrarre la chiave privata di Instagram dall'app per Android: link Che potrebbe quindi essere utilizzato allo scopo di sfruttare l'API privata di Instagram, in questo m...
posta 22.11.2015 - 23:23
2
risposte

Come valutare o rivedere la sicurezza di un'applicazione Web Java

Esiste un modo per valutare o verificare la sicurezza di un'applicazione Web Java? Ad eccezione del web scanner o della verifica del codice, esiste una metrica / procedura per valutare la sicurezza dell'applicazione? Ho anche letto Come valu...
posta 25.09.2015 - 17:18
1
risposta

L'applicazione di consentire solo l'esecuzione di un'applicazione firmata in un server Windows è una regola sicura in un ambiente di produzione?

Esistono vari strumenti di sicurezza che consentono a un amministratore di applicare solo le applicazioni firmate per l'esecuzione in un sistema operativo Windows. è una regola di applicazione generale realistica in un server di produzione sapen...
posta 18.05.2015 - 19:05
3
risposte

L'invio di file di immagini in http in un'applicazione sicura comporta rischi? [duplicare]

Mi sono imbattuto recentemente in questo scenario, in cui un'applicazione mobile utilizzata per il servizio bancario invia richieste HTTP per immagini GIF e richieste HTTPS per tutte le altre transazioni. Ma le richieste alle immagini GIF veng...
posta 04.06.2015 - 08:51
1
risposta

Scenario peggiore OPEN URL REDIRECTION e perché google non lo copre in bug bounty

L'OPEN URL REDIRECTION secondo me può rivelarsi molto pericoloso creando attacchi come il phishing. Ma sembra che Google lo consideri un bug di livello molto basso e non fornisce alcuna ricompensa monetaria per questo. Quindi la mia domanda a...
posta 22.09.2014 - 21:05