Domande con tag 'web-application'

1
risposta

Il mio server viene utilizzato come proxy o viene attaccato?

Ho un progetto Ubuntu, Apache, Passenger e Rails 4 su AWS EC2. Non ho familiarità con il lato sicurezza e server del mio progetto. Di recente, il mio sito era inattivo a causa di "troppi utenti", quindi quando ho controllato il mio tail -f...
posta 02.04.2015 - 13:59
2
risposte

Copia-incolla sicura dal telefono al computer

Alcuni computer della mia università bloccano l'applicazione keepass che uso come gestore di password. Sto pensando di creare una piccola applicazione web + app per Android che mi consenta di copiare in modo sicuro una stringa dal mio telefono a...
posta 03.02.2015 - 19:19
1
risposta

È un rischio per la sicurezza avere la funzionalità 'Control + j' abilitata in un'istanza di produzione di PeopleSoft?

La funzione control + j di PeopleSoft restituisce un elenco di dati potenzialmente interessanti per un potenziale aggressore. La funzionalità è generalmente utilizzata per facilitare il debug. Ecco un output [censurato] da control + j :...
posta 05.11.2014 - 16:45
1
risposta

Ridistribuzione di più siti sicuri su un singolo server

Questo potrebbe non essere un ottimo sito per questa domanda. Fondamentalmente ho circa 10 istanze di VPS che eseguono un sito Web protetto ciascuna, ciascuna con la propria connessione SSH a un database ospitato. Quello che sto cercando di fare...
posta 10.12.2014 - 19:15
1
risposta

Come viene eseguito il Cross Site Flashing?

Ho letto sul cross-site flashing nella guida ai test OWASP. Conosco la differenza tra XSS e XSF. Ma quello che sto cercando è come gli aggressori eseguano un attacco XSF. Com'è possibile dal momento che non ci sono punti di ingresso per un file...
posta 07.10.2014 - 07:41
3
risposte

In che modo lo stesso criterio di origine causa il fallimento del PoC quando non è necessario leggere i dati di restituzione?

Sto eseguendo un'analisi di vulnerabilità autorizzata su un servizio Web personalizzato e ho scoperto una vulnerabilità CSRF. Dato che non ci sono token di forma accoppiati con il servizio che non verifica l'intestazione di origine, credevo d...
posta 17.10.2014 - 04:30
2
risposte

Scanner di vulnerabilità Webapp che comprende le continuazioni

Sto ricercando le vulnerabilità XSS in un'applicazione web che utilizza le continuazioni. Ciò significa che per un dato modulo, l'URI con cui i dati del modulo vengono pubblicati è unico e diverso ogni volta. Una prima richiesta GET visualizz...
posta 15.05.2014 - 17:16
1
risposta

È possibile che XSS si verifichi nell'attributo src?

Sto lavorando sulla vulnerabilità XSS e sulla sua comprensione. So che nei seguenti casi l'iniezione di script cross site avviene nel contesto Javascript Dentro il tag <script> . All'interno del tag html nei valori degli attribut...
posta 15.04.2016 - 14:04
1
risposta

Ci sono moduli per rafforzare le sessioni di Symfony 2?

Stiamo cercando di creare una nuova app su Symfony 2, ma la sicurezza è la nostra priorità principale. Dopo aver scavato un po ', sembra che ci siano un numero di opzioni built-in per la gestione delle sessioni (es. PDO, null, Mongo, ecc.), Ma n...
posta 29.01.2013 - 21:31
1
risposta

Quali sono i rischi per la sicurezza di servire i file caricati dall'utente senza Content-Disposition?

Immagina un server che serve file non forniti dall'utente e consente ad altri utenti di scaricarli. In alcune circostanze il server può essere ingannato per restituire le risposte per scaricare le richieste di file senza Content-Disposition...
posta 16.07.2012 - 18:59