Domande con tag 'enumeration'

4
risposte

Enumerazione dei nomi utente?

Da quello che capisco, è una cattiva pratica di sicurezza mostrare messaggi di accesso falliti come: The email you entered does not exist Invece di Incorrect email/password combination perché può portare all'enumerazione del nome...
posta 24.09.2013 - 17:16
2
risposte

Enumerazione utente Vulnerabilità durante la creazione dell'account Google

Quando creiamo un account Google, Google ci dice se esiste o meno un account con nome utente specificato. Questo non porta alla numerazione degli utenti? Perché non consentire agli utenti di riempire prima altre informazioni, superare...
posta 06.08.2014 - 17:43
2
risposte

In che modo i kit di exploit enumerano o impronte digitali dei loro obiettivi?

La mia attuale comprensione è che un kit di exploit impronta le impronte digitali (raccoglie informazioni su) su un sistema, controlla quei dettagli su un database di vulnerabilità e poi tenta di utilizzare gli exploit pertinenti. Riesco a ve...
posta 10.11.2017 - 14:33
1
risposta

Strane risposte da un server HTTP sconosciuto

Ho notato un dispositivo sconosciuto durante la scansione della mia rete wireless locale. Aveva due porte TCP aperte (in ascolto?); TCP/80 ( http ?) & TCP/443 ( https ?). Nel tentativo di identificare il dispositivo sc...
posta 07.05.2016 - 10:19
6
risposte

Devo utilizzare un generatore di numeri casuali crittograficamente sicuro quando genero gli ID?

È comune generare identificatori casuali da esporre tramite un'API invece di utilizzare una semplice chiave primaria con incremento automatico. Le ragioni sono molte: Impedisce una facile enumerazione. Non distribuire oggetti dell'ordine s...
posta 13.04.2016 - 14:45
3
risposte

Quanto è importante CAPTCHA nelle pagine di registrazione?

Sto lavorando su un sito e vorrei aggiungere CAPTCHA alla pagina di registrazione dell'utente per impedire l'enumerazione dei nomi utente. Sto lavorando con uno sviluppatore front-end che ritiene che non dovremmo aggiungere CAPTCHA alla pagin...
posta 12.09.2013 - 17:53
1
risposta

Rilevazione di un servizio vulnerabile su una macchina

Sto cercando di ottenere l'accesso a una delle macchine nel mio laboratorio. ha 2 porte TCP che sospetto molto sono: porta 25 tcp porta 111 tcp Per la porta 25, si suppone che stia eseguendo SMTP, tuttavia, penso che stia eseguendo un a...
posta 07.11.2013 - 20:44
1
risposta

Come posso abusare delle informazioni dell'enumerazione dei servizi DCE?

Nessus riporta quasi su qualsiasi macchina Windows "l'enumerazione del servizio DCE". Con il modulo metasploit tcp_dcerpc_auditor ottengo le seguenti informazioni: 192.168.1.23 - UUID 99fcfec4-5260-101b-bbcb-00aa0021347a 0.0 OPEN VIA 135...
posta 09.07.2013 - 14:50
3
risposte

Tecniche per l'impronta digitale di un sistema di gestione dei contenuti basato sul web (CMS)

Diciamo che abbiamo un blog di base casuale o un sito web informativo: solo alcune pagine con informazioni, una barra laterale con una panoramica degli archivi, le cose normali. Sappiamo di questo sito Web che è stato creato con un CMS. Come pos...
posta 24.03.2013 - 19:27
1
risposta

Questi valori URL crittografati sono sicuri o potrebbero essere indovinati?

Uno dei nostri fornitori ha avuto un punto debole nella sezione sicura della sua pagina web. Modificando gli ID nell'URL, potremmo vedere i dati che non ci appartenevano. Ad esempio: link Ha mostrato un contratto e un'auto, ma anche...
posta 20.06.2016 - 15:17