Domande con tag 'web-application'

1
risposta

Utilizzo dello strumento selenio per gli script xss

Ok, quindi ho bisogno di sapere che lo strumento web Selenium può essere utilizzato per testare vulnerabilità e exploit xss. Se è possibile, per favore, forniscimi qualche esempio o tutorial. Si scusa, se ho torto di fare questa domanda.     
posta 19.11.2013 - 08:17
1
risposta

Window.history.back () è sicuro da usare?

Sto facendo un test di penetrazione su un'applicazione web e sta usando window.history.back() per tornare alla pagina precedente. È sicuro da usare? Ad esempio, se visito google.com e poi vado all'applicazione web e poi torno indietro, m...
posta 17.05.2018 - 17:39
1
risposta

È possibile sfruttare PHP unserialize senza classi? [duplicare]

Sto valutando la sicurezza di un portale web per un cliente e ho trovato una vulnerabilità. Il codice in pratica sta facendo questo: $var = unserialize($_REQUEST['something']); Ho il controllo completo sulla variabile. Ma non ci sono clas...
posta 15.01.2018 - 21:23
1
risposta

Script malevolo tramite sql-injection

Uno dei miei clienti ha avuto un problema nel creare un post sul suo blog e quando ho cercato nel database ho scoperto che la tabella delle newsletter (che invia email sui post del blog) aveva uno script dannoso. Datochesonosolounosviluppato...
posta 11.01.2018 - 14:56
1
risposta

Implementazione della verifica in due passaggi tramite e-mail per le app Web?

Stavo pensando di applicare la verifica in due passaggi alle mie app Web che funzionerà in modo simile alla verifica in due passaggi SMS / voce di Gmail, ad eccezione della mia app web che invierà tramite e-mail il codice di verifica ogni volta...
posta 19.04.2012 - 22:47
1
risposta

Garantire che una stringa casuale in un cookie e un'intestazione siano la stessa cosa da proteggere contro XSRF?

In uno schema cookie-to-header di invio dei token xsrf / csrf , il server imposta un numero pseudo-casuale crittograficamente sicuro come cookie nella macchina del client. Il codice di script java sul computer client è tenuto a leggere questo...
posta 29.10.2017 - 02:52
1
risposta

L'inserimento dell'intestazione dell'host è possibile senza la cache o la reimpostazione della password?

Sono un principiante nella sicurezza e nella lettura dell'iniezione di intestazione host. Ho provato un'applicazione per questa vulnerabilità ed è possibile per alcune richieste, ma lo sviluppatore ha implementato i flag no-cache, no-store e que...
posta 20.12.2017 - 08:03
2
risposte

Proxying una transazione con carta di credito?

Diciamo che c'è un servizio che elabora una carta di credito, servizio X. Voglio creare un nuovo servizio (Y) che ha un modulo su di esso che rispecchia i campi dal servizio X. Io uso le credenziali inserite nel servizio Y e POST loro di servire...
posta 14.12.2012 - 20:13
1
risposta

Progettazione di un sistema informativo sicuro

Qualcuno potrebbe fornirmi qualche indicazione per un sistema che sto progettando ... Una panoramica generale del sistema è che è necessario memorizzare le informazioni sul personale e sui "clienti": questa informazione deve essere completame...
posta 12.06.2013 - 12:01
2
risposte

Permettere all'utente di accedere al sito Web protetto da password senza rivelare la password

Un mio amico ha il seguente problema. È una contabile e i suoi clienti le danno spesso le credenziali di accesso per poter scaricare i dati contabili da vari siti Web di istituti finanziari. Inoltre ha un dipendente part-time che la aiuta con al...
posta 18.06.2013 - 23:30