Domande con tag 'http'

domande con tag
1
risposta

Quale vulnerabilità potrebbe tentare di sfruttare questo valore HTTP_HOST non valido?

Ho appena ricevuto una e-mail di errore dal mio server web di casa (è un sito a basso traffico e dal momento che sta eseguendo un'applicazione Django mi sono scritto che ricevere un'e-mail sugli errori mi aiuta a trovare i bug). Subject: [Djan...
posta 09.12.2016 - 07:54
1
risposta

È più sicuro utilizzare la funzionalità di pre-caricamento di HTTP Strict Transport Security (HSTS)?

È più sicuro utilizzare la funzionalità di precaricamento di HTTP Strict Transport Security ( HSTS ) e, in caso affermativo, perché ? Con pre-caricamento: Strict-Transport-Security: max-age=10886400; includeSubDomains; preload Senza p...
posta 11.07.2016 - 23:53
2
risposte

Devo esporre il codice di stato HTTP 500 su un'applicazione REST?

Nella mia applicazione Spring MVC 3, sto seguendo i pattern REST e molta logica si basa sui codici di stato HTTP. Ad esempio 500 definisce un errore del server. Tuttavia, Modsecurity OWASP dice di non esporre questo codice di stato. Non cap...
posta 04.10.2016 - 07:07
1
risposta

I router in cascata possono proteggere la macchina della rete interna dall'attaccante dalla rete esterna?

Data: Rete esterna router A wan ip 209.123.12.11 indirizzo 10.10.0.1 macchina A indirizzo 10.10.0.10 gateway 10.10.0.1 Rete interna router B wan ip 10.10.0.100 indirizzo 192.168.10.1 macchina B indirizzo...
posta 10.09.2015 - 14:58
1
risposta

Acquisizione (solo 1x) Richiesta POST HTTP [tcpdump]

Ogni tanto; Mi piace aumentare tcpdump e osservare il traffico di rete mentre i pacchetti scorrono. Ad esempio: user@host:~$ sudo tcpdump -Aevvv Analizzerà & stampa tutto il traffico di rete locale sullo standard output, in t...
posta 20.09.2015 - 06:50
1
risposta

Dopo aver eseguito una striscia SSL, è possibile eseguire di nuovo l'aggiornamento a HTTPS con la propria crittografia dal proxy?

Diciamo che stai eseguendo una striscia SSL. Da quello che posso capire, modifica i pacchetti client o server (nel protocollo http / https), che indicano che supporta la crittografia per non supportare la crittografia. Mi chiedevo se è possib...
posta 12.09.2018 - 16:57
1
risposta

Come impedire al browser di rendere il contenuto malevolo se la richiesta o la risposta sono violate?

Al momento stiamo lavorando su correzioni di sicurezza OWASP e abbiamo identificato uno scenario di attacco per il quale stiamo cercando di capire una possibile soluzione: L'utente raggiunge un HTTPRequest valido per la nostra applicazione....
posta 10.02.2015 - 12:08
1
risposta

Capire una richiesta HTTP sospetta

Durante il debug del mio server per problemi, ho controllato spesso i miei log. Ecco uno strano che ho trovato, che sembra un tentativo di eseguire qualcosa sul mio server. Sto usando nginx su Ubuntu 14.04. Di seguito è riportata la voce del reg...
posta 07.04.2015 - 02:50
2
risposte

Strumento principiante per simulare l'alluvione HTTP sul mio sito web

È disponibile uno strumento facile da usare che possa essere utilizzato per produrre un'inondazione GET HTTP su un sito Web che gestisco? In tal caso, puoi spiegare nei passaggi come usarlo? Devo farlo a scopo di test. Il nostro sito Web è sp...
posta 22.04.2017 - 17:20
1
risposta

Nello stesso criterio di origine, perché i diversi protocolli sono considerati una violazione della sicurezza?

Riesco a capire perché i contenuti di domini diversi sono considerati non arrugginiti per lo stesso criterio di origine. Ma come può essere pericoloso il contenuto di diversi protocolli dello stesso sito / dominio? Qualcuno può dare un esempi...
posta 28.01.2014 - 23:16