Domande con tag 'injection'

0
risposte

Metodi di chiamata con Expression Language Injection in Spring Framework?

Al momento sono su un pentest e ho trovato un parametro URL che è vulnerabile all'iniezione di Expression Language (EL) e posso provarlo accedendo a proprietà come $ {pageContext}. Tuttavia, sembra che io abbia accesso alle proprietà degli og...
posta 03.06.2016 - 13:55
0
risposte

Iniezione MongoDB, lettura e scrittura su file

Ho giocato con Nosql e in particolare con l'iniezione di MongoDB su alcune sfide e il mio laboratorio. Se si dispone di un punto di iniezione, è possibile enumerare e scaricare facilmente il database. Ma puoi andare oltre, come le molte cose che...
posta 15.10.2015 - 12:47
4
risposte

Risanamento SQL query (lista nera)

Ho il seguente problema / sfida: L'applicazione Web (ASP.NET 3.5) installata sulla LAN aziendale e funzionante su DB SQL Server deve fornire la possibilità di generare report personalizzati. Questi report possono essere fondamentalmente quals...
posta 18.01.2012 - 09:27
2
risposte

Iniezione di codice PHP usando GET ed echo

Ho trovato un pezzo di questo codice in un'applicazione web (semplificata): <?php $password="very-secret-password"; $param = $_GET["param"]; ?> <html> ... Param: <?php echo $param; ?> ... </html> So che è come una ch...
posta 31.12.2015 - 22:16
2
risposte

Che tipo di iniezione di sicurezza sono queste tracce di, SQL, javascript o altro?

Ho cercato di proteggere tutte le informazioni sul server per assicurarmi che non ci siano iniezioni SQL. Tuttavia ci sono nuove cartelle sul mio server con nomi strani. Uno dei nostri servizi online è tale che con determinati input, le direc...
posta 29.05.2013 - 12:56
1
risposta

Q: Hai bisogno di aiuto per capire il sito compromesso che ha un impatto solo sugli utenti AT & T LTE

Sono quasi certo che il mio (nuovo) sito wordpress del client sia stato violato. La home page va bene, ma ogni sottodirectory nella pagina viene caricata con contenuti molto imprecisi apparentemente iniettati nella pagina. Ma ecco il kicker. Suc...
posta 06.12.2017 - 04:12
2
risposte

PHP: sono libero da SQL Injection? [duplicare]

Consentitemi di prefigurare ciò dicendo che questo è il mio primo tentativo di capire l'igiene dei fattori di produzione, e al momento sono ancora un principiante di PHP. Ho creato un registro rapido / accesso al sito Web per testare alcune co...
posta 07.04.2015 - 21:41
2
risposte

Iniezione di comando OS remoto - test

Lo scanner ZAP ha rilevato l'iniezione di comando del SO remoto. C'è qualche modo infallibile per verificare se funziona e non è un falso positivo? Ho provato a farlo dormire per 50 secondi ma non è qualcosa che posso vedere visivamente, a...
posta 30.03.2016 - 11:57
2
risposte

È possibile utilizzare un carattere di regex di spazi bianchi per eseguire un'iniezione di javascript?

se voglio convalidare l'input di <textarea> e voglio che contenga, ad esempio, solo valori numerici, ma voglio anche dare agli utenti la possibilità di inserire nuove righe, posso selezionare i caratteri desiderati con un javascript r...
posta 07.11.2012 - 20:13
2
risposte

Differenza tra l'iniezione del codice, l'iniezione del comando e l'esecuzione del codice remoto

Se si deve descrivere la differenza fondamentale tra questi tre termini (ad esempio Code Injection, Command Injection e Remote Code Execution) quale sarà? Quanto sono diversi gli uni dagli altri in termini di approccio per eseguire l'attacco...
posta 28.08.2017 - 12:53