Domande con tag 'appsec'

domande con tag
7
risposte

Come si cattura TUTTO il traffico da un'app per Android?

Voglio catturare tutto il traffico da un'app Android per i suoi pen-test. Come faccio? Ecco cosa ho già provato: Ho installato l'app su un emulatore e ho avviato l'emulatore con http-proxy che punta a una porta locale. La porta locale...
posta 10.06.2014 - 16:28
0
risposte

Script di esempio JSP che risiedono sul server

In una delle applicazioni Web che sto verificando, l'esecuzione di una scansione nikto ha rivelato la seguente cartella "esempi" nella radice Web con i seguenti contenuti. Mentre suggerirò sicuramente di rimuoverli, avere questi script di e...
posta 13.07.2018 - 11:19
3
risposte

Verifica SSL del nome host del server https

Recentemente ho scoperto che una libreria che sto usando (in particolare Apache HTTPClient) quando è configurata per verificare il nome host del server remoto rispetto al CN del certificato, sembra stia facendo un confronto tra stringhe. Cioè s...
posta 17.08.2011 - 21:13
0
risposte

Esposizione dell'API protetta senza credenziali di hardcoding nel client (JS)

Cerca di esporre l'API REST protetta senza esporre le credenziali nel client (codice JS). Tutte le soluzioni che mi vengono in mente possono essere invertite e l'Attaccante può ricostruirli. Esistono soluzioni provate? Best practice? Id...
posta 20.08.2018 - 14:57
0
risposte

In che modo gli attaccanti aggirerebbero Token Binding?

L'associazione token non è facile da implementare tra le organizzazioni per supportare i token bearer. Il problema con Bearer Token è che basta averlo anche se fosse rubato sarà sufficiente usare (stessa idea di obbligazioni e denaro). Prima...
posta 22.08.2018 - 06:48
0
risposte

È possibile eseguire un test di sicurezza dell'applicazione Web di base di un'applicazione Web da un file pcap

Ho cercato di eseguire il proxy di attacco zed su un'applicazione Web utilizzando alcuni test funzionali automatizzati. ZAP continua a non riuscire ad un certo punto a causa di eccezioni sslsocket (penso che a causa di effettuare richieste ai si...
posta 20.04.2018 - 20:32
5
risposte

Come posso esportare la mia chiave privata da un keystore di Keytool Java?

Vorrei esportare la mia chiave privata da un keystore Java Keytool, quindi posso usarla con openssl. Come posso farlo?     
posta 13.05.2011 - 13:11
0
risposte

APKTool: problema nella ricostruzione di applicazioni Android create su Android Oreo

Durante la valutazione della sicurezza delle applicazioni Android. Controllo se l'applicazione è a prova di manomissione. Per questo, decompilo l'applicazione usando apktool e poi manomettilo modificando le risorse e / o il codice SMALI e poi...
posta 01.03.2018 - 07:05
8
risposte

Dovrei preoccuparmi più di insegnare buffer overflow?

Gli studenti sono scettici sul fatto che spegnere stack non eseguibili, spegnere i canarini e disattivare ASLR rappresenta un ambiente realistico. Se PaX, DEP, W ^ X, ecc. Sono efficaci nell'arrestare gli exploit di overflow del buffer, c'è anco...
posta 01.03.2011 - 04:42
0
risposte

posso usare openssl per generare un certificato ECC a 160 bit

Sto facendo alcuni test delle nuove impostazioni di sicurezza che escono nel prossimo set di patch java. Una delle nuove restrizioni è quella di non consentire chiavi ECC inferiori a 224 bit. Voglio generare un certificato ECC con un keysize più...
posta 26.02.2018 - 04:00