Domande con tag 'web-application'

2
risposte

Accesso sicuro attraverso due app Web

Ho l'obbligo di implementare l'accesso tra domini per due app Web (APP1 e APP2) in modo che un utente possa accedere a APP2 dopo aver effettuato l'accesso all'AP1. APP2 deve conoscere un ID dell'utente che ha effettuato l'accesso a APP1. Ho trov...
posta 09.11.2012 - 13:25
3
risposte

Monitoraggio per minacce alla sicurezza

Ospito e gestisco diversi siti Web. Gli utenti pagano per mantenere i loro siti protetti e protetti. Tuttavia, con la quantità di applicazioni Web come joolma, wordpress, ect ... e i relativi plug-in, ho bisogno di un modo per monitorare e stare...
posta 14.11.2012 - 18:51
1
risposta

Vulnerabilità in Host Proof Hosting

Di recente ho svolto ricerche su Host-Proof Hosting , in particolare in un ambiente di app Web. Sembra un metodo di sicurezza abbastanza solido, ma non sono certo un esperto di sicurezza e vorrei avere altre opinioni. A parte le ovvie vulner...
posta 19.07.2012 - 19:30
1
risposta

Alla ricerca di un esempio di condizione di gara che possiamo utilizzare internamente in allenamento

Sto facendo un piccolo CTF per il mio team digitale per insegnare loro i diversi exploit. Spero di includere un esempio di condizione di competizione ma tutto ciò che ho trovato manipola un file locale o un database SQL (quindi più utenti non po...
posta 11.04.2017 - 00:43
3
risposte

Devo limitare l'origine in un'app API?

Ho un'app che serve un'API simile al resto e un'interfaccia utente angolare per questo. I client possono utilizzare direttamente l'API o utilizzare l'interfaccia utente (se il client è un essere umano). L'app dovrebbe restituire intestazioni...
posta 13.01.2017 - 22:57
2
risposte

Come dovrebbero essere distribuite in modo sicuro più password generate dal sistema e gestite centralmente (se non del tutto)?

In un sistema in cui un singolo utente amministratore è responsabile della creazione di più account utente (fino a 500), incluse le password e questi account utente non hanno un indirizzo email associato, come ti avvicineresti alla distribuzione...
posta 28.11.2017 - 15:12
1
risposta

Testo non elaborato SSN nella pagina: dovrei essere preoccupato?

Mi sono appena iscritto con il fornitore selezionato di un datore di lavoro per HR / deposito diretto. Durante la procedura di registrazione, ho visto che il mio SSN era visualizzato in testo normale. Visto che devono pagarmi, non li rimprove...
posta 20.12.2017 - 17:59
2
risposte

Utilizzo manuale di SQL injection cieco nell'istruzione SELECT nell'intestazione X-Forwarded-For

Sto facendo fatica a sfruttare questa vulnerabilità nel seguente codice: <?php ini_set('display_errors', 0); define("INDEX", 1); include '../db.php'; if(isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWARDED_...
posta 26.05.2017 - 10:52
1
risposta

Bypass safe mode in PHP

Sto facendo test di penetrazione su un sito Web fittizio. Su questo sito ho potuto caricare una shell PHP, ma ho due problemi: PHP safe-mode è abilitato Ho solo privilegi bassi C'è qualche metodo con il quale posso bypassare la modalità...
posta 14.02.2017 - 12:21
2
risposte

L'app HTML5 può accedere alla cronologia di navigazione?

Spero che questo sia il posto giusto per porre questa domanda. Attualmente sto discutendo con un collega se è possibile ottenere la cronologia di navigazione di un visitatore del mio sito con una speciale applicazione HTML5. Diciamo che l'ute...
posta 18.02.2017 - 17:12