Domande con tag 'injection'

2
risposte

I file eseguibili dei file di registro sono?

Come un principiante nel progetto di ricerca sulla sicurezza, mi sono imbattuto in log injection e la mia domanda riguarda i file di iniezione di log. I file di iniezione dei log sono eseguibili, in caso negativo, come eseguono / eseguono codice...
posta 17.11.2018 - 08:39
2
risposte

Iniezione / SQL Injection Attack in Layman Terms

Ho difficoltà a capire quali sono gli attacchi SQL injection o, in termini più generali, quali sono gli attacchi di iniezione. La maggior parte delle spiegazioni là fuori sugli internet sono piuttosto difficili da capire. Qualcuno potrebbe spieg...
posta 04.10.2015 - 04:08
1
risposta

Qual è la funzione principale di xp_cmdshell in SQL Server e quali sono i problemi di sicurezza correlati?

Stavo facendo ricerche sui problemi di Injection in MS SQL Server. Sono venuto a leggere su xp_cmdshell. Penso che questo deve essere abilitato nel server SQL per gli aggressori per eseguire molti exploit. In realtà che cosa fa questa funzione e...
posta 25.09.2014 - 13:54
1
risposta

Iniezione comando quando tutti i personaggi pericolosi sono sfuggiti?

OWASP raccomanda come difesa contro l'iniezione del comando per sfuggire a tutti i caratteri speciali (se non è possibile utilizzare un approccio di lista bianca). Ho scritto un rapido script PHP facendo questo: $input = $_GET['x']; $dang...
posta 13.12.2018 - 12:38
1
risposta

HTTPS e iniezione cache

Capisco il rovescio della medaglia di questo attacco e cosa può essere fatto male. Ma non capisco come è fatto? Bene, ho bisogno di educare me stesso, qualsiasi suggerimento sarebbe utile.     
posta 16.07.2012 - 20:26
2
risposte

Esiste un modo sicuro per eseguire un file bat da un programma Java senza la vulnerabilità di command injection?

Da quando si utilizza la vulnerabilità di Runtime.exec () e ProcessBuilder trigger command injection in strumenti di analisi statici, esiste un altro metodo sicuro consigliato per eseguire un file bat da un programma Java? Codice Java: Runt...
posta 05.10.2018 - 21:56
1
risposta

Perché la parte XX di Injection non è nella Top 10 di OWASP?

Sto cercando di spiegarmi perché XXE non rientra nella categoria Injection, in quanto è una forma di iniezione XML. XML External Entity è un attacco che manipola il parser / interprete XML, per ottenere la divulgazione di alcuni dati (ad es....
posta 12.05.2018 - 11:30
1
risposta

È pericoloso servire l'input dell'utente senza escape come risposta HTML allo stesso utente? [duplicare]

Comprendo il motivo per cui consentire l'inserimento di codice JS arbitrario nella memoria persistente (ad esempio, in una tabella di database che contiene commenti dell'utente) è un'enorme vulnerabilità poiché potrebbe finire per essere servi...
posta 03.11.2016 - 07:22
2
risposte

Perché i siti Web continuano a soffrire di iniezioni del sistema operativo se per impostazione predefinita i web server non hanno una shell?

Quindi, anche se c'è un pessimo scritto php che permette un shell_exec () e che qualcuno ha disabilitato la modalità sicura, quali sono esattamente i rischi? Gli amministratori cambiano semplicemente il gruppo predefinito o la maggior parte de...
posta 05.07.2016 - 00:22
1
risposta

Alcuni tag sono preoccupati per l'analisi di html doc per xxs

Sto costruendo un'app web in cui gli utenti possono creare post composti da un documento html. Ad esempio, un utente può modificare il documento tramite lo strumento di sviluppo. Quindi il documento consiste letteralmente in ogni input dell'uten...
posta 22.09.2015 - 23:44