Domande con tag 'disclosure'

domande con tag
1
risposta

I messaggi di eccezione generici dovrebbero essere considerati un rischio per la sicurezza?

Ad esempio, se visiti una pagina web ottieni la risposta: Error in exception handler. È probabile che il sito web stia utilizzando Laravel . Questa classe sarebbe divulgazione di informazioni? Non indovino, ma ho pensato di chiedere. C...
posta 07.04.2016 - 13:43
1
risposta

Nome login e password nell'URL

Recentemente ho incontrato una webapp, che ha il suo URL nel seguente formato: http://www.[WEBAPP].com/INetService/Show.aspx?Username=[EMAIL]&EncryptedPassword=[Some String of 32 characters length] Ora questo sembra un modo piuttosto br...
posta 21.10.2016 - 19:50
2
risposte

Esiste un sito come plaintextoffenders.com che fa vergognare le aziende che costringono le password non sicure?

Recentemente ho trovato link e mi è piaciuta l'idea. Mi chiedevo se esistesse un sito simile che vergogna i siti Web che costringono le password non sicure? Personalmente ho un elenco di alcuni siti Web che costringono le password non sicur...
posta 14.12.2012 - 10:38
2
risposte

Come posso segnalare un sito di e-commerce in violazione delle pratiche di sicurezza?

Ho ordinato un prodotto da un sito Web e ho scoperto che la pagina di visualizzazione della fattura non è completamente protetta con l'ID ordine nella stringa di query e il semplice incremento del numero espone ogni ordine. Le informazioni visua...
posta 24.04.2012 - 02:14
1
risposta

Il sito espone la posizione GPS dell'utente tramite i dati EXIF

Recentemente mentre ero in agguato intorno a uno dei siti di social network popolari con gente del posto, ho scoperto che il sito non elimina i dati GPS dalle immagini caricate. Li ho contattati e li ho informati delle mie preoccupazioni, ma la...
posta 27.10.2016 - 04:23
1
risposta

Ottenere un datore di lavoro per proteggere immediatamente il loro sito web

Sono impiegato come consulente presso una grande società di consulenza tecnologica. Di recente ho notato un grosso difetto nel loro sito Web, che inviano le mie credenziali di accesso in testo normale su HTTP. Ho verificato questo facendo una ca...
posta 13.04.2014 - 12:08
1
risposta

Come divulgare responsabilmente una vulnerabilità in un algoritmo diffuso?

Per essere chiari, è puramente ipotetico. Ieri sono stato colpito alla testa con alcuni mattoncini e, nella confusione di commozioni cerebrali, ho scoperto un attacco preimage perfetto su SHA2. Per ogni dato hash, posso trovare immediatamente...
posta 24.03.2018 - 05:46
2
risposte

Come aumentare la sicurezza di una biblioteca quando l'autore non sembra preoccuparsi

C'è una libreria open source che è orribilmente insicura. L'autore riconosce che è insicuro. Il titolo della biblioteca dice "Questa è un'implementazione per la piattaforma X della Biblioteca Y". La libreria Y è sicura quindi il titolo che la su...
posta 12.10.2017 - 00:53
1
risposta

Sfide di creare una divulgazione responsabile per il mio corso

Qualcuno ha esperienza nella creazione di una procedura di divulgazione responsabile per un'azienda? Sono interessato a prendere un incarico universitario che coinvolge questo. Ho letto le linee guida dei miei governi sulle responsabilità...
posta 04.05.2014 - 11:49
0
risposte

Registrazione dei dettagli degli errori in un'applicazione client (desktop)

Ho un dibattito su come registrare correttamente gli errori per la parte client (Java Swing) di un'applicazione client-server dal punto di vista della sicurezza. Penso sia logico che l'esposizione di dettagli di errore come eccezioni e stackt...
posta 18.08.2016 - 10:40