Domande con tag 'attack-vector'

domande con tag
2
risposte

Espressioni regolari per exploit comuni

Ho eseguito il patch per shellshock e sono stato bloccato dopo pochi giorni. Tuttavia, non avrei saputo che nessun tentativo fosse stato fatto se non fosse stato per un'espressione regolare che ho trovato su internet. Questo mi ha ispirato a esa...
posta 10.11.2014 - 06:14
2
risposte

Come funziona l'infezione attraverso la navigazione web?

Spesso leggo dei compromessi dovuti alla visita di un sito dannoso che scarica alcuni exploit sul tuo computer. Non ho mai visto un processo dettagliato, tutti i libri / tutorial che ho letto dicono frasi come "una volta che il sito è visitato,...
posta 26.12.2014 - 20:18
1
risposta

XSS via -confirm () -

Stavo leggendo questo articolo qui , nel mezzo ho visto che l'autore ha usato -confirm()- come payload. Mi piacerebbe sapere cos'è questo carico utile? Voglio dire qual è la differenza tra -confirm()- e <script>confirm()</...
posta 05.12.2015 - 09:43
1
risposta

PHP max_input_vars aspettative di sicurezza

Considerando un sito che gestisce dati di POST elevati, sarebbe irragionevole e pericoloso impostare php.ini max_input_vars su qualcosa come 100000? So che questo è un vettore per gli attacchi DOS, ma non altre configurazioni c...
posta 31.12.2014 - 17:50
1
risposta

Utente straniero registrato e comportamento strano. È sinistro?

Sto eseguendo un numero di siti web. Sono tutti basati su Drupal, se questo è rilevante. Recentemente ho notato qualcosa di strano. Tutti i miei siti hanno un utente registrato con il nome "zctonglin". Presumo che l'utente sia uno spammer a caus...
posta 26.04.2013 - 15:13
1
risposta

Gestore password: il file chiave deve essere memorizzato su un dispositivo diverso dal file db password (anche se si utilizza pw master)?

Sconfigge lo scopo di un file chiave per memorizzarlo nella stessa posizione del database delle password? Cosa succede se è necessaria anche una password principale? Ad esempio, salvo il mio .kdbx su dropbox come metodo per eseguire il backup...
posta 07.02.2016 - 02:31
3
risposte

Perché è necessario convalidare i dati in un servlet ottenuto chiamando HttpSession.getAttribute ()?

Sono nuovo nella programmazione WebApp e sto cercando di capire le implicazioni sulla sicurezza di non convalidare i dati ottenuti chiamando il metodo di interfaccia javax.servlet.http.HttpSession.getAttribute (). So come regola generale che si...
posta 16.11.2012 - 00:53
1
risposta

FCGId utilizza le variabili di ambiente? (Oppure è un possibile vettore di attacco per CVE-2014-6271 / 7169?)

Secondo Red Hat httpd (attack vector): CGI scripts are likely affected by this issue: when a CGI script is run by the web server, it uses environment variables to pass data to the script. These environment variables can be contro...
posta 25.09.2014 - 22:34
1
risposta

Redazioni analogiche non redatte su caratteri a larghezza variabile?

L'FBI attualmente stampa e redatta documenti usando meccanismi analogici. Sono curioso di sapere se qualcuno ha mai studiato l'accuratezza di dedurre le possibili parole o nomi. Certamente, data la larghezza statica dei caratteri nel set di cara...
posta 06.04.2014 - 22:36
0
risposte

Elenco completo dei vettori di attacco shellshock [chiuso]

Attualmente conosco tre vettori di attacco gravi: parametri cgi creati da un client web dhclient che ottiene i nomi host creati da un server DHCP utenti SSH con accesso completo alla shell Mi rendo conto che potrebbe trattarsi di una...
posta 26.09.2014 - 13:16