Domande con tag 'known-vulnerabilities'

2
risposte

Come fare a un sito Web per correggere la loro scarsa sicurezza?

Sto seguendo un corso online da un'istituzione locale. Recentemente, ho notato che non hanno password hash perché mi hanno inviato la mia password via e-mail in testo chiaro. Il sito web ha molte informazioni personali, quindi ho deciso di te...
posta 03.06.2013 - 17:14
2
risposte

SQL Injection: elimina tutte le tabelle

Ho usato alcuni scanner di vulnerabilità per controllare un mio sito e è stata restituita un'istanza di SQL injection cieca. Tuttavia, quando provo a sfruttare questa vulnerabilità inserendo quanto segue nella barra degli indirizzi, non accade n...
posta 07.04.2013 - 17:34
4
risposte

Lavoro su un progetto open source. Esiste uno "standard" per segnalare vulnerabilità di sicurezza che possiamo usare?

Lavoro su un progetto open source (intenzionalmente non rivelato). Per quanto ne so, non abbiamo una politica rilevabile sul reporting delle vulnerabilità della sicurezza. Rails ha le sue norme che richiedono che le vulnerabilità della sicu...
posta 26.04.2013 - 05:31
3
risposte

Che tipo di attacco era questo?

Quindi il nostro sito Web è stato violato e queste sono le cose che sono state fatte: Alcune voci nel database sono state modificate. Non so se ciò avvenisse tramite SQL injection, o accesso diretto al database (solo a root è consentito app...
posta 14.05.2013 - 10:53
1
risposta

Vulnerabilità di rinegoziazione SSL TLS: situazione attuale nei client

Informazioni sul problema della rinegoziazione SSL CVE-2009-3555 si sa che i server che supportano il vecchio tipo di rinegoziazione sono vulnerabili all'iniezione di dati. Abbiamo anche strumenti per testarli ( openssl s_client e labora...
posta 21.07.2011 - 01:27
2
risposte

Implicazioni dei metodi Trace / Track su Apache

Quando si eseguono scansioni di vulnerabilità utilizzando Nessus, contro un host che esegue Apache, un risultato previsto è sempre "metodi HTTP TRACE / TRACK consentiti". Mentre questo risultato ha solo un CVSS di base di 4.3, consiglio sempre d...
posta 29.09.2011 - 14:54
2
risposte

TLS_RSA_WITH_3DES_EDE_CBC_SHA riportato come 112 bit

Non sono esperto in questo settore ma dopo alcune ricerche non sono molto sicuro della soluzione. Un fornitore esterno che ha eseguito un test di penetrazione sul nostro server ha riferito che abbiamo TLS_RSA_WITH_3DES_EDE_CBC_SHA con 112 bit...
posta 29.10.2015 - 00:33
2
risposte

Rischi di utilizzo di Google Native Client

Mi chiedevo se ci fossero eventuali rischi nell'utilizzo di Google Native Client . So che è in modalità sandbox, ma l'idea sembra ancora rischiosa e lascia almeno un'altra strada aperta per compromettere il tuo browser.     
posta 18.11.2010 - 22:01
4
risposte

Esistono servizi di notifica di vulnerabilità personalizzabili? [duplicare]

Ci sono dei servizi (gratuiti o meno) che forniscono informazioni su nuove vulnerabilità per un dato elemento tecnologico? Ad esempio, supponiamo di voler essere aggiornato su tutte le nuove vulnerabilità di Wordpress tramite RSS o e-mail?...
posta 14.06.2013 - 21:37
4
risposte

Exploit-db come siti web, dove le persone possono cercare bug di sicurezza

Se qualcuno deve decidere tra 2 programmi server o sistemi operativi molto simili, cerca su siti come: link in modo che lì potesse ottenere abbastanza informazioni sui bug di sicurezza storica del programma / os. Conoscete i siti exploit...
posta 25.03.2011 - 11:58