Domande con tag 'http'

domande con tag
1
risposta

Come disabilitare l'uso del tunnel verbo HTTP usando intestazioni HTTP o parametri di query?

La richiesta di utente malintenzionato utilizza un verbo HTTP attendibile come GET o POST, ma aggiunge intestazioni di richiesta come X-HTTP-Method, XHTTP-Method-Override, X-Method-Override o un parametro di query come _method per fornire un ver...
posta 24.10.2018 - 07:13
1
risposta

Hydra: forza bruta un modulo http, tutti gli argomenti sono forniti ma l'errore di accesso ha altri formati di stringa ed è troppo grande

Sto usando Hydra per forzare bruscamente un modulo http di accesso (metodo: post), ma sto ricevendo falsi positivi (password non valide) Credo di conoscerne il motivo, ma non so come gestirlo: L'errore della richiesta produce il seguente mess...
posta 13.07.2018 - 18:18
1
risposta

Qual è il rischio per la sicurezza di aumentare il numero massimo di parametri HTTP?

Voglio aumentare il numero massimo di parametri HTTP (maxParameterCount) da 10000 a 20000 nella configurazione di Tomcat: link Quali sono i rischi per la sicurezza di aumentare il numero massimo di parametri HTTP?     
posta 03.06.2018 - 21:39
1
risposta

Vulnerabilità interne di HTTP (s)

Utilizziamo il rilevatore di rete Rapidfire + in cui lavoro, per eseguire scansioni interne non intrusive su tutte le reti dei nostri clienti. Ogni settimana; la metà dei ticket che ottengo per questo sono le vulnerabilità della porta 80/443 per...
posta 05.12.2018 - 16:57
2
risposte

Il protocollo HTTP è sicuro all'interno di una connessione WPA2-PSK?

Sono in esecuzione un piccolo chip per server Web a bassa potenza che crea un punto di accesso Wi-Fi utilizzando la crittografia AES WPA2-PSK. Questo chip non è mai connesso a Internet o a qualsiasi altra rete. Un dispositivo client può connette...
posta 25.01.2018 - 14:46
1
risposta

Il modo migliore per proteggere il server REST locale?

Attualmente ho un raspberry pi collegato al mio sistema di sicurezza domestica. Ho scritto un demone Python su un server HTTP (molto insicuro, lo so, ma è ancora in costruzione), quindi posso inviarlo richieste POST per attivare l'allarme. Sto c...
posta 06.02.2018 - 02:00
1
risposta

La convalida del token CSRF è richiesta per il metodo http diverso da POST e GET? [duplicare]

Se imposto le azioni per gli utenti registrati da eseguire tramite metodi HTTP diversi da GET o POST , le richieste HTTP Javascript che rispettano lo stesso criterio di origine (SOP) o Cross-Origin Resource Sharing (CORS) è il l'unico...
posta 27.01.2018 - 19:13
1
risposta

Qual è un modo corretto per proteggere l'interfaccia REST dal furto di sessione?

Supponiamo che l'autore dell'attacco sia stato in grado di iniettare JavaScript nel sito web. Ovviamente può fare qualsiasi richiesta HTTP per fare il backend di imitare le azioni dell'utente, a meno che non ci sia una conferma come il codice SM...
posta 27.09.2017 - 16:25
1
risposta

Sta usando X-Real-IP come modo per verificare la sicurezza dell'accesso localhost?

Ho un'applicazione in ascolto sulla porta 5000 a cui è possibile accedere a Internet tramite nginx con questa configurazione: upstream myapp { server 127.0.0.1:5000; } server { listen 80; location / { proxy_pass http://myap...
posta 10.08.2017 - 16:04
1
risposta

Non riesco a riprodurre i risultati di fuzzer di MSF?

Questa è la prima volta che chiedo un supporto nel mio caso. Per favore perdonami, mentre sto ancora imparando ... Lo scenario è davvero semplice: Alcuni dispositivi con server HTTP vengono sfocati dal modulo di metasploit (http_get_uri_long)...
posta 12.07.2017 - 15:00