Domande con tag 'injection'

1
risposta

Come sfruttare l'iniezione CRLF?

Stavo eseguendo alcuni test su un sito web quando mi sono imbattuto in questo: Richiesta: GET /accounts?intended_destination=internal_api%2Fcampaigns_dashboard%7Cshow&intended_params=format%3Dhtml HTTP/1.1 Host: ads.example.com User-Age...
posta 10.05.2015 - 11:12
1
risposta

Qualcosa viene scritto su disco quando si fa un'iniezione DLL?

link La mia domanda : quando qualcuno fa un'iniezione DLL, qualcosa viene scritto sul disco? O l'intero attacco è solo in memoria?     
posta 14.03.2014 - 15:12
1
risposta

DAST Output in Burp e Capito

Recentemente ho aggiornato alla versione più recente di Burp che include i nuovi strumenti DAST. Sto ricevendo report dallo strumento che ha trovato Injection Javascript basato su DOM, ma ho problemi a digerire l'output: Data is read from t...
posta 29.10.2018 - 18:16
1
risposta

Perché / come il browser inserisce gli SVG in linea alla fine del corpo?

Chrome sta inserendo le seguenti immagini SVG nella parte inferiore delle pagine: <span style="width: 24px; height: 24px; background: url(&quot;data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/Pjxzdmcgd2lkdGg9IjI0cHgiIGhlaWdodD0iMj...
posta 10.09.2018 - 18:32
1
risposta

Iniezione di agente utente Apache

Nel mio file di configurazione di Apache, sto attualmente bloccando agenti utente potenzialmente maliziosi usando la seguente configurazione: SetEnvIfNoCase User-Agent "^\W" badagent <Location /> Deny from env=badagent </Location&...
posta 28.03.2017 - 14:10
1
risposta

Iniezione di pacchetti man-in-the-middle

Al momento sto studiando la possibilità di un attacco man-in-the-middle in una rete composta da uno switch e 3 computer: Server / Host Client Man In The Middle Il server e il client cambieranno i dati (in realtà, il client scaricherà...
posta 28.06.2016 - 03:28
1
risposta

Sqlmap, come andare avanti? [duplicare]

Quindi, sto usando Sqlmap per un po 'di tempo per testare la sicurezza della mia azienda (siamo troppo piccoli per avere il tizio IT e sono il più vicino per ora), sono già riuscito ad accedere al database in remoto e scarica il database usand...
posta 13.03.2016 - 20:24
1
risposta

SOP per SQL Injection Attack

Che cosa dovrebbe (o) seguire (o) un gestore di incidenti quando viene segnalato un attacco di iniezione SQL? Risposta iniziale Analisi Azione Mirare a fare una guida alla procedura da seguire per me e il mio team. Breve o dettaglio,...
posta 11.11.2015 - 18:35
1
risposta

Elenco dei parametri di richiesta GET sospetti? [chiuso]

Esiste un elenco pubblico di parametri di richiesta GET sospetti comuni? Voglio dire - SQLi, Command Injection, Admin access, ecc. Sono interessato a tale elenco, da utilizzare per rilevare sospette richieste GET in SIEM (arcsight) Qualsiasi...
posta 29.03.2015 - 12:22
3
risposte

Rischi associati all'iniezione di contenuto HTTP?

Sono curioso dei rischi associati all'iniezione di contenuto HTTP, in cui un ISP inietta il contenuto di pagine a cui si accede tramite connessioni non HTTPS. Alcuni esempi: link link Ti sto chiedendo in particolare di situaz...
posta 03.06.2015 - 15:10