Domande con tag 'attack-prevention'

domande con tag
2
risposte

Quando spostarsi oltre SSL3 non è possibile, quali suite di crittografia sono immuni a POODLE?

Capisco che tutto ciò che non usa CBC funzionerà, ma esistono tali modalità? Vorrei anche evitare cose deboli come RC4 / 5 e MD5 in modo così preferibile che utilizzi funzioni sensibili. Su un server SSL 3.0 solo con diverse funzioni deboli d...
posta 29.05.2016 - 16:57
2
risposte

Attacchi di intestazione host IIS

IIS e ASP sono vulnerabili agli stessi attacchi di intestazione host che abbiamo visto su Apache e Nginx? In particolare gli attacchi che utilizzano l'intestazione host HTTP per reimpostare una password o implementare l'avvelenamento della cache...
posta 31.03.2014 - 19:35
2
risposte

OTP con restrizioni IP come Autenticazione ammin. Web sicura o meno

Ho creato un pannello di amministrazione Web con la seguente implementazione di sicurezza. Si trova in una sottodirectory del web, che attiverà un errore 404 quando tenterà di accedere (proprio come il link è rotto o non esiste). Questo (s...
posta 06.04.2016 - 22:39
1
risposta

Quali sono i rischi e gli effetti del temuto "Killer USB Stick"?

A Russian security researcher known as "Dark Purple" has created a USB stick that contains an unusual payload. It doesn't install malware or exploit a zero-day vulnerability. Instead, the customized USB stick sends 220 Volts (technically...
posta 05.08.2016 - 13:17
1
risposta

PHP max_input_vars aspettative di sicurezza

Considerando un sito che gestisce dati di POST elevati, sarebbe irragionevole e pericoloso impostare php.ini max_input_vars su qualcosa come 100000? So che questo è un vettore per gli attacchi DOS, ma non altre configurazioni c...
posta 31.12.2014 - 17:50
3
risposte

C'è un motivo per creare un utente di database senza privilegi di schema?

Una delle cose comuni che si vedono nell'installazione di persone sono gli utenti del database (per l'uso da un'applicazione vera e propria) che dispongono solo delle autorizzazioni SELECT / UPDATE / INSERT / DELETE. Un utente separato (che ha i...
posta 18.02.2016 - 19:54
3
risposte

Perché è necessario convalidare i dati in un servlet ottenuto chiamando HttpSession.getAttribute ()?

Sono nuovo nella programmazione WebApp e sto cercando di capire le implicazioni sulla sicurezza di non convalidare i dati ottenuti chiamando il metodo di interfaccia javax.servlet.http.HttpSession.getAttribute (). So come regola generale che si...
posta 16.11.2012 - 00:53
1
risposta

Apple Watch Unhackable senza iPhone?

In risposta al fatto che il Regno Unito ha vietato Apple Watch dagli incontri del governo, questo articolo implica che Apple Watch sia essenzialmente innocuo (non accessibile) con l'iPhone associato inaccessibile. Questo sembra ridicolo, dal m...
posta 10.10.2016 - 21:13
2
risposte

Prevenire l'uomo in attacco medio (LAN)

Sto lavorando su un'applicazione di chat in un'area locale che stabilisca semplicemente la connessione tra due socket sulla LAN e procedo con la comunicazione. Ora, concentrandomi sulla sicurezza, la mia preoccupazione principale è quella di evi...
posta 06.01.2016 - 20:33
1
risposta

(file di log httpd) Che tipo di attacco è? Come posso impedirlo? [duplicare]

Nei miei file di registro vedo centinaia di questi registri. Devo dire che l'IP del client cambia a volte. Quindi ci sono 3 o 4 IP che inviano queste richieste ... L'altruiqualcosa (che ho omesso) è sempre la stessa. [Sat Apr 11 21:34:13 2...
posta 12.04.2015 - 13:01