Domande con tag 'http'

domande con tag
3
risposte

I dati sono esposti in un attacco CSRF?

Mi chiedo se un attacco CSRF, rivelerà le informazioni che vengono inviate indietro in una richiesta GET. Ho bisogno di inviare un numero di previdenza sociale, al cliente un paio di volte, e NON è qualcun altro dovrebbe mai essere in grado d...
posta 07.01.2014 - 15:59
3
risposte

Errori di ModSecurity relativi a REQUEST_METHOD HTTP / 1.1 e GET

Ho chiesto al mio ospite di accendere il file di registro, e da allora è aumentato molto. È aumentato di 700 MB l'ultima settimana. È pieno di messaggi di errore relativi a Mod Security. Molti di loro hanno questo aspetto: [Thu Jun 20 16:49...
posta 05.07.2013 - 19:12
1
risposta

Impersonare l'autenticazione del certificato client con lo stesso nome soggetto

Sto esaminando la sicurezza di un servizio che utilizza i certificati client per autenticare solo i chiamanti conosciuti. Eseguiamo un servizio API Web C # che controlla ogni soggetto del certificato di richiesta se è elencato in bianco. Inoltre...
posta 08.02.2018 - 20:27
2
risposte

Perché limitare il nome della variabile richiesta e le lunghezze dei valori

Ho un server con suhosin installato (un sistema di protezione per installazioni PHP). Ho notato che il software che sto utilizzando sta causando i seguenti log su suhosin. ALERT - configured GET variable value length limit exceeded - dropped v...
posta 06.02.2017 - 22:17
1
risposta

Reindirizzamento da HTTP a HTTPS, posso impedire di dare l'URL?

Sì, ancora un'altra domanda sul reindirizzamento da HTTP a HTTPS. Ma questo parla di una situazione abbastanza bizzarra. Questa è una domanda successiva su Sicurezza di un reindirizzamento iniziale da http://example.com a https://example.com...
posta 29.08.2016 - 00:01
1
risposta

Esiste un modo per acquisire la richiesta HTTPS con Python?

Ho creato un semplice script python per catturare la richiesta HTTP. Ho catturato richieste HTTP con il mio script python. Ma non riesco a catturare le richieste HTTPS. Voglio solo acquisire informazioni sugli URL. Ho usato scapy per...
posta 21.07.2017 - 23:35
1
risposta

La specifica CORS dovrebbe considerare un'intestazione Content-Type mancante per implicare una "intestazione semplice"?

RFC 7231, Sezione 3.1.1.5 afferma: A sender that generates a message containing a payload body SHOULD generate a Content-Type header field in that message unless the intended media type of the enclosed representation is unknown to the...
posta 24.02.2016 - 23:25
1
risposta

È prassi accettabile per la sicurezza mostrare la password in formato testo su un sito Web?

Dopo aver completato la procedura di configurazione guidata account per un nuovo servizio di hosting SiteGround, ho ricevuto questa schermata di conferma sul sito Web: ... just log in to your Wordpress control panel with the details below: Adm...
posta 26.03.2017 - 00:05
1
risposta

Come prevenire l'attacco dell'header host in Ubuntu Server 14.04?

Se inviamo una richiesta da qualsiasi host come example.com il nostro server restituisce uno stato di risposta HTTP 1.1 200 OK . In condizioni corrette dovrebbe mostrare lo stato del messaggio di errore 302, 400 o 404 (non trovato ri...
posta 02.03.2017 - 11:02
1
risposta

Come applicare la forza bruta Autenticazione di base HTTP richiesta con XHR?

In che modo una forza bruta può forzare un sito Web usando l'autenticazione di base HTTP usando metasploit che usa XHR in background? Ricevo l'errore " Nessun URI trovato che richiede l'autenticazione HTTP ". Le intestazioni rilevanti sono le se...
posta 24.01.2016 - 21:43