Domande con tag 'http'

domande con tag
2
risposte

Accesso multi sottodominio per contenuto, sicurezza di primavera per main

Illustrazione: mainsite.com e contentsite.com sono entrambi sviluppati per la stessa compagnia da due team. avremo login etc su mainsite.com contentite.com avrà alcuni contenuti che non sono disponibili per gli utenti che non hanno registrato. M...
posta 27.07.2014 - 14:12
1
risposta

Apache - strane richieste nei log

Sto eseguendo webserver su Debian8 a 64 bit ( 2.6.32-042stab120.16 ) con Apache / 2.4.10. Oggi in Apache access.log ho trovato queste voci: 164.52.7.132 - - [26/Jun/2017:07:16:23 -0400] "\x16\x03\x01\x01\"\x01" 400 0 "-" "-" 164.52.7....
posta 26.06.2017 - 19:56
2
risposte

Quali tipi di exploit devo proteggere in PHP?

Recentemente ho appreso che a quanto pare, è comune per le persone tentare le iniezioni SQL usando il referrer HTTP in PHP. Di quali altri input devo proteggere? Attualmente sto "ripulendo" le entrate $ _GET [] e $ _POST [], e ora il referrer de...
posta 08.01.2013 - 15:53
1
risposta

Le connessioni simultanee a un sito Web HTTPS eseguono handshake SSL separati?

So che la maggior parte dei browser al giorno d'oggi supporta circa 6 sessioni TCP simultanee per hostname, per eseguire più richieste contemporaneamente. Per i siti che utilizzano SSL, c'è un handshake separato eseguito per ogni sessione TCP...
posta 06.01.2015 - 02:14
1
risposta

Blind SQL Injection e la dipendenza della versione HTTP?

I Recentemente mi sono imbattuto in una macchina virtuale con Iniezione SQL cieco nell'intestazione X-Forwarded-For. Ho usato sleep () per rilevare la vulnerabilità. Il payload funzionava in HTTP / 1.0 e non in HTTP / 1.1. Carico utile:...
posta 02.06.2018 - 19:39
2
risposte

Quali strumenti possono essere utilizzati per MitM in un ambiente controllato per decifrare + ritrasmettere HTTPS su traffico MTLS con SNI?

Ho un ambiente completamente controllato (routing, DNS, CA, chiavi private, certificati) tra due appliance chiuse che comunicano su HTTPS. Il traffico si trova su un reciproco canale autenticato TLS, utilizzando l'indicazione del nome del server...
posta 14.01.2018 - 17:22
2
risposte

Come sconfiggere CRIME, BREACH, TIME ecc. lato server (senza sacrificare la compressione)

Sto scrivendo un software server side-stack completo e sto conducendo ricerche sugli attacchi CRIME e sulla relazione con la compressione dell'intestazione SPDY mentre sto implementando i codec lato server per il momento. La conclusione sembr...
posta 03.10.2013 - 13:08
1
risposta

Come viene scambiata la chiave simmetrica nell'handshake SSL / TLS?

Ho letto molto sull'handshake SSL / TLS tra un client e un server e molti articoli su di esso sono molto contraddittori. Alcuni dicono che la chiave simmetrica che verrà utilizzata per comunicare tra le due parti viene trasmessa dal client al...
posta 25.07.2016 - 12:20
1
risposta

È possibile utilizzare HPKP per tenere traccia degli utenti?

Esiste già una vasta gamma di "supercookies" e metodi di fingerprinting del browser. Mi chiedo se HPKP offra ancora un altro metodo per tracciare gli utenti? Un server potrebbe inviare una chiave di backup extra che non è destinata a essere u...
posta 08.06.2016 - 12:56
2
risposte

Man-in-the-middle server-side: attacchi tra due server tramite HTTP non crittografato

Sono nuovo per la sicurezza e mi chiedo come funzionano gli attacchi di tipo "man-in-the-middle" e di intercettazione tra server Web , piuttosto che tra dispositivi e server personali. La maggior parte delle domande che vedo sugli attacchi m...
posta 11.03.2016 - 20:57