Domande con tag 'web-application'

2
risposte

Protezione di uno script per impedire l'esposizione del database

Abbiamo uno script con codifica Ioncube in esecuzione su un server Web Apache che memorizza le informazioni riservate dei clienti in un database MySQL. Abbiamo configurato lo script per l'esecuzione con il proprio account utilizzando suphp. Come...
posta 30.05.2012 - 01:01
3
risposte

Esempio di app web vulnerabili per testare le piattaforme di Pentesting [chiuso]

Sto esaminando uno scanner di vulnerabilità di applicazioni Web per la mia organizzazione. Vorrei un'applicazione web di esempio caricata con vulnerabilità (simile a metasploitable dal lato dell'applicazione) per testare varie soluzioni. Qualcun...
posta 12.10.2012 - 18:27
2
risposte

Come funziona LiveID? C'è qualche documentazione sul sito di provisioning di LiveID msm.live.com?

Sto cercando di apprendere dettagli su come funziona LiveID, se confrontato con altre tecnologie di federazione. Per essere onesti, sono un po 'sopraffatto da tutte le opzioni del link e voglio capire cosa sto facendo prima Federare la mia...
posta 21.11.2010 - 18:09
1
risposta

Esporre il servizio Web in modo sicuro

Requisiti Ho un servizio web che devo esporre sulla DMZ per le comunicazioni esterne. Il servizio web comunica direttamente con un database critico che si trova su una rete interna. Soluzione corrente Questo problema è attualmente r...
posta 16.10.2013 - 09:29
1
risposta

Perché i siti principali (eBay, Github) non richiedono una password quando tento di cambiare gli indirizzi email?

Quando gli utenti cambiano i loro indirizzi e-mail all'interno dell'account utente di un'applicazione web, vedo il seguente problema: Un utente malintenzionato (che ha accesso alla tua sessione) potrebbe cambiare il tuo indirizzo e-mail in un...
posta 12.08.2013 - 23:42
1
risposta

conseguenze sulla sicurezza di un database accessibile al pubblico?

Mi è stato chiesto di esporre pubblicamente il database di un'app Web in modo che un servizio esterno possa connettersi direttamente al database (tramite nome utente / password) per leggere le informazioni. Questo database è attualmente protetto...
posta 29.09.2018 - 09:14
1
risposta

Implicazioni sulla sicurezza dell'aggiunta di tutti i domini a CORS (ad esempio Access-Control-Allow-Origin: *) [duplicate]

Sono curioso di sapere quali sono le implicazioni per la sicurezza se imposto le seguenti due risposte HTTP CORS ; Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: false Gli unici problemi di sicurezza che vedo sono attac...
posta 27.11.2013 - 12:07
2
risposte

Caricamento file illimitato - Possibili exploit

Durante un test di penetrazione (esercizio) su un server Web IIS + DBMS MYSQL, ho trovato una vulnerabilità di Caricamento file illimitato per cui posso caricare un file .php. Quindi ho provato a caricare una shell php usando un comando pas...
posta 18.12.2013 - 19:51
1
risposta

Access-Control-Allow-Origin senza AJAX

Questa risposta (erroneamente?) afferma No, as long as the CORS Access-Control-Allow-Origin is at its default restrictive value. This prevents the outer website from accessing the framed website via Javascript/etc. Tuttavia, ero abbast...
posta 06.11.2013 - 11:42
2
risposte

Quali sono i vantaggi per la sicurezza di reimpostare tutti i campi se captcha non è riuscito?

La maggior parte dei siti svuoterà il campo della password quando fallisci il CAPTCHA e spesso reimpostano anche tutti i campi. Ci sono vantaggi per la sicurezza in questo modo?     
posta 06.12.2013 - 01:12