Domande con tag 'http'

domande con tag
1
risposta

Qualcuno potrebbe spiegare il loop di collegamento DoS?

Sto cercando di capire questa vulnerabilità . Come posso riprodurre questo?     
posta 21.02.2012 - 06:24
1
risposta

Perché l'intestazione HTTP Server non è utilizzata dalla maggior parte dei server, ma l'agente utente utilizzato dalla maggior parte dei browser? [chiuso]

Ho leggi che l'intestazione del Server potrebbe rivelare informazioni e che il suo utilizzo sarebbe negativo. Gli argomenti fatti in quella domanda valgono anche per l'intestazione dell'agente User. Allora perché è ancora usato, e non un "mani...
posta 30.07.2014 - 23:16
2
risposte

Come implementare la funzionalità di reimpostazione della password senza diventare vulnerabile alla perdita di riferimenti tra domini?

In genere ho implementato la funzionalità di reimpostazione della password inviando un collegamento che includeva qualcosa come questo: http://example.com/pwreset?id=userId&resetToken=superSecretResetToken Nella mia pagina pwres...
posta 06.10.2014 - 21:14
4
risposte

Perché non siamo tutti compromessi su internet?

Bene, ci ho pensato per un po 'ora. Nell'ultimo decennio, abbiamo utilizzato vari modi per rendere i nostri siti Web dinamici e live . Ad esempio, in JavaScript, è abbastanza facile inviare dati a un server remoto utilizzando AJAX , ancor...
posta 26.03.2014 - 10:56
1
risposta

Come può l'intestazione Origin essere utilizzata per prevenire CSRF se Firefox non lo invia per le stesse richieste di origine o richieste dagli URI di dati?

Ho intenzione di utilizzare i token di sincronizzazione per la prevenzione CSRF, ma OWASP consiglia controllando anche le intestazioni di referrer e di origine. Ho cercato di capire la logica corretta per questo, ma i miei esperimenti suggeris...
posta 20.09.2016 - 18:22
1
risposta

Puoi semplicemente sostituire il certificato TLS in un'applicazione bloccata?

Supponiamo che ci sia un APK Android. Vuoi annusare il traffico all'API privata. Quindi lo decompilate, trovate il cert, quindi lo sostituite con il fiddler's o il burp's o il charles proxy, ricompilatelo e poi eseguitelo, usando uno dei proxy s...
posta 07.10.2017 - 01:23
1
risposta

Come fa LastPass a sapere che Microsoft.com utilizza la password per Live.com?

Quando visito Microsoft.com, il menu a discesa LastPass elenca il mio nome utente / password per login.live.com. Fa qualcosa di simile per Playstation.com e molti altri siti. Come lo sa? Sono codificati in LastPass, o c'è qualche markup o int...
posta 31.08.2015 - 18:28
3
risposte

Quali sono alcuni potenziali attacchi che potrebbero essere fatti su un sito web che non gestisce correttamente la codifica url?

Circa un mese fa ero nel mezzo di una delle mie classi "Applicazioni distribuite" e il professore ci stava spiegando come "" "correttamente" "" autenticare gli utenti in un server. Per dimostrare come impedire agli utenti di accedere a tutti...
posta 17.01.2018 - 21:15
2
risposte

HTTPS è sicuro o più sicuro di SSH se entrambi hanno una whitelist di indirizzi IP?

Mi chiedo se un endpoint dell'API HTTPS sia sicuro o più sicuro di SSH. Endpoint API L'endpoint dell'API richiederebbe HTTPS L'autenticazione API utilizza una chiave API POST'd. La lunghezza minima richiesta della chiave API potrebb...
posta 16.05.2014 - 05:49
1
risposta

Obbligatorio implementare HTTPOnly se i Java Secure Cookies sono impostati su "true"?

Ecco un caso di test da una recente valutazione della sicurezza delle applicazioni che ho riscontrato: cookie = new Cookie(strKey1, EncryptDecrypt.encrypt(strValue)); cookie.setMaxAge(-1); cookie.setDomain(COOKIE_NEW_DOMAIN); cookie.setPath("...
posta 03.04.2015 - 03:29