Domande con tag 'injection'

domande con tag
2
risposte

Rilevamento dell'iniezione del codice su server Web

Recentemente ho trovato uno dei miei server web hackerato con codice maligno inserito nei siti web ospitati lì. Non è stata colpa mia, perché ho condiviso il server con altre persone e qualcuno ha messo qualche script / sito Web non sicuro sul s...
posta 19.02.2012 - 23:10
1
risposta

La convalida degli eventi di ASP.NET è completamente sicura?

Attualmente sto testando un'applicazione Web ASP.NET per la sua sicurezza. In questo modo ho trovato il meccanismo di convalida degli eventi. C'è un modo per aggirarlo? Quanta sicurezza c'è che non può essere aggirato?     
posta 31.10.2012 - 14:23
2
risposte

Come posso disinfettare l'input LDAP e prevenire attacchi di iniezione? Quali scenari di iniezione LDAP sono possibili?

Nel seguente esempio C # sto interrogando il contenitore di configurazione di AD per le sostituzioni di Exchange. Se il nome del dominio in unsanitised l'utente finale potrebbe ottenere LDAP per leggere un oggetto diverso, quindi inteso. Non...
posta 12.06.2012 - 17:56
1
risposta

Esegui il comando bash quando spazi e '' / \? & | sono filtrati?

Ho un codice PHP che esegue comandi bash e ha un bug che potrebbe renderlo vulnerabile all'esecuzione di codice in modalità remota. Il comando eseguito sarebbe $(id) , ma se eseguo qualsiasi altro comando come ls -la lo spazio viene...
posta 09.04.2018 - 03:55
1
risposta

E 'possibile ottenere variabili PHP usando XSS tramite la richiesta GET?

Se c'è una richiesta get che visualizza il valore dopo l'elaborazione lato server tramite PHP, es. mysite.com?message= , è possibile passare un valore che ottiene variabili dal modulo PHP che lo elabora?     
posta 19.08.2016 - 03:09
2
risposte

Quali pericoli ci sono nel consentire l'input dell'utente di parti di una stringa di connessione ODBC?

Sto sviluppando un'applicazione che consente all'utente di inserire nomi host, nomi di database, nomi utente e password per l'accesso al database. L'applicazione costruirà una stringa di connessione ODBC riempiendo i segnaposto. In C, ciò si tra...
posta 30.03.2011 - 01:34
1
risposta

a seguito di un attacco; cartelle e file casuali in public_html. Che tipo di attacco è questo?

Come risultato dell'attacco ci sono cartelle e file php casuali all'interno di esse nelle directory public_html. I siti sono Wordpress, Opencart o solo HTML. Tutti i siti esposti all'attacco. Screenshot della situazione: Chetipodiattaccoè...
posta 05.11.2015 - 14:17
2
risposte

Esecuzione del comando Java senza Runtime.exec

Sto cercando di trovare tutti i modi in cui si possono eseguire comandi in java. L'obiettivo è creare un elenco di parole chiave per le blacklist in strumenti e filtri di analisi del codice statico. Finora ho trovato solo Runtime.exec () che...
posta 02.03.2017 - 16:54
1
risposta

Se si desidera implementare uno scanner XSS, è assolutamente necessario utilizzare un interprete JS? Perché?

In una recente discussione su uno scanner di vulnerabilità di sicurezza che restituisce falsi positivi per il rilevamento XSS, ho notato che lo scanner inserisce solo una stringa come "this_is_my_string_" (senza virgolette) e se vede la stringa...
posta 22.06.2013 - 10:20
2
risposte

Protezione dell'iniezione di codice tramite chattr su file php?

Recentemente, un sito web che ho ospitato (un sito wordpress) per un amico è stato violato e tutte le pagine php hanno aggiunto del codice in fondo sotto forma di echo base64_encode(...); . Quindi c'erano annunci indesiderati su molta pagina...
posta 13.01.2015 - 12:19