Domande con tag 'http'

domande con tag
3
risposte

Quale scopo ha Access-Control-Allow-Origin?

Ho un malinteso riguardo l'intestazione Access-Control-Allow-Origin di CORS. Il nome dice "allow" da cui capisco che se faccio una richiesta da un "Origin" che non è consentito, la richiesta dovrebbe fallire. Ma posso sempre modificar...
posta 14.04.2016 - 17:07
2
risposte

Gli attacchi MITM sono possibili su loopback HTTP?

Ho un server web in esecuzione a example.com . Il server web esegue una richiesta lato server a example.com che risulta in un loopback, quindi la richiesta non passa mai sulla rete. Questa richiesta è suscettibile a un attacco MITM?...
posta 19.06.2014 - 00:15
4
risposte

Il controllo dell'intestazione referrer offre un miglioramento della sicurezza del mondo reale?

Al lavoro utilizziamo un portale centrale che fornisce funzionalità SSO di base ad altre applicazioni. Oltre a verificare i dati SSO inviati, tutte le nostre applicazioni interne esistenti (utilizzate dal pubblico) controllano anche l'intestazio...
posta 26.08.2014 - 17:08
2
risposte

Quanto è sicuro l'accesso al traffico HTTP (non SSL) quando si utilizza la VPN e si è connessi al Wi-Fi pubblico?

Supponiamo che io stia utilizzando il WiFi pubblico e che sia connesso alla rete del mio ufficio tramite VPN. Sto accedendo ad alcune applicazioni che non sono abilitate SSL. Quanto è facile per un utente malintenzionato vedere il traffico se ut...
posta 08.07.2016 - 19:24
2
risposte

Quanto è sicuro proteggere i contenuti sensibili tramite URL con hash MD5 e nessun'altra autorizzazione?

Supponiamo di avere un sito web che utilizza l'hash MD5 in URL come questo: http://somewebsite.com/XXX/ dove XXX è hash MD5. Il contenuto di questo sito Web potrebbe contenere dati sensibili come i dettagli della transazione con dat...
posta 17.09.2014 - 23:58
1
risposta

Come mai posso vedere le richieste HTTPS complete tramite Fiddler?

Sto testando un'API Web C # ospitata su un server remoto e sto monitorando il traffico HTTPS usando Fiddler. Ciò che mi confonde è che tramite Fiddler posso vedere tutti i payload, le intestazioni e gli indirizzi URL host POST sia per la rich...
posta 02.03.2018 - 13:38
2
risposte

L'invio di indirizzo, indirizzo e-mail, ecc. non criptato su Internet, come fa il Regno Unito, è una cattiva pratica di sicurezza?

Quindi uso la rete Three nel Regno Unito per accedere a Internet sul mio telefono. Recentemente, ho notato andando su mobile.three.co.uk per accedere a servizi che includono anche informazioni sul mio indirizzo e-mail, indirizzo di casa, il mio...
posta 08.06.2017 - 22:52
1
risposta

Disconnessione dall'autenticazione HTTP di base

Come visto su link , ci sono alcuni modi interessanti di disconnettere un utente dall'autenticazione HTTP di base. Attualmente sto inviando un HTTP 401 per farlo in questo modo: GET logout.php <?php header('HTTP/1.1 401 Unauthorize...
posta 30.09.2014 - 21:00
1
risposta

Sono sicuro se si naviga in / cgi-bin / restituisce HTTP 403?

Mi chiedo se il mio server potrebbe essere vulnerabile a ShellShock (o meglio: era vulnerabile). Il test della shell rivela che sono vulnerabile: $ export evil='() { :;}; echo vulnerable'; bash -c echo; vulnerable Non ho bisogno di CGI per...
posta 26.09.2014 - 00:36
1
risposta

Come forgiare l'intestazione del referer nel metodo GET attivato su HTML

Sto osservando le vulnerabilità CSRF di DVWA. Eseguo il livello medio che utilizza questo pezzo di codice per convalidare se l'intestazione referer è uguale al nome del server: if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFE...
posta 04.11.2017 - 18:40