Domande con tag 'web-application'

1
risposta

La scadenza di 90 giorni per l'URL univoco è troppo lunga?

Un'applicazione web che ho sviluppato ha un nuovo caso d'uso che mi ha spinto a cercare qualcosa di più semplice dell'autenticazione tramite nome utente / password. Gli utenti attuali non si iscrivono al servizio in quanto è un servizio b2b u...
posta 20.01.2012 - 01:04
2
risposte

Crittografia lato client dei dati utente con password utente

Ho ristretto lo schema per consentire alla mia applicazione di crittografare il lato client dei dati utente e trasmettere tali dati al server, senza che il nostro server sia in grado di decodificare i dati. Voglio assicurarmi che non ci siano...
posta 16.11.2016 - 20:54
1
risposta

Protezione di un'applicazione Web tramite HSTS

Sfondo Sto sviluppando un'applicazione Web utilizzando ASP.Net MVC. Ho distribuito l'applicazione in IIS (V8) e ora sto facendo il processo di hardening delle app Web. Ho configurato SSL in IIS e l'app Web funziona solo tramite SSL (utilizz...
posta 06.01.2017 - 00:48
1
risposta

XSS non sfruttabile quando i dati POST vengono inviati in JSON?

C'è un difetto XSS riflesso in un'applicazione che sto testando. Inizialmente, il carico utile viene inviato nella richiesta POST come valore di una chiave JSON e la risposta è anche un oggetto JSON. Il valore restituito nell'oggetto JSON viene...
posta 16.06.2016 - 15:57
2
risposte

Come posso modificare la richiesta HTTP in OWASP ZAP e inviare la richiesta modificata?

Sono a conoscenza dell'impostazione di un punto di interruzione su una particolare richiesta e quindi quando la richiesta viene effettuata nel browser, la richiesta http può essere modificata in ZAP. Ma esiste un modo in ZAP, attraverso il quale...
posta 04.09.2016 - 14:48
1
risposta

Come iniettare XSS utilizzando Response Splitting nel seguente scenario?

Sono stato pentito per una società. Ho trovato un'iniezione CRLF che poteva essere eseguita utilizzando %E5%98%8D%E5%98%8A anziché %0d%0a . Quindi sto usando %E5%98%8D%E5%98%8A nel parametro di reindirizzamento per CR / LF. Ecco l'...
posta 08.04.2016 - 17:36
1
risposta

Dati senza escape nei tag div o p, ma non in grado di sfruttare

Un'applicazione web accetta l'input dell'utente e visualizza i dati, senza alcuna escaping o codifica, nei tag div o p. Quindi, se fornisco <script>alert(1)</script> come input, la fonte dovrebbe apparire più o meno come questa:...
posta 02.11.2017 - 09:26
3
risposte

Errore di errore del database: SQLSTATE [23000]: violazione del vincolo di integrità. È vulnerabile a SQLi?

Sto eseguendo test di penetrazione su un sito. La maggior parte della richiesta viene eseguita per posta in background. Quando ho intercettato una richiesta utilizzando l'intestazione HTTP Live e l'ho riprodotta utilizzando gli stessi parametri...
posta 01.09.2016 - 15:53
2
risposte

Come funziona X-CSRF-Token?

Dopo aver letto questa domanda , se la mia comprensione è corretta, il server invia il token CSRF a valle come cookie. A prima vista, ciò sembrerebbe vanificare lo scopo del token poiché tutti i cookie vengono inviati dal browser anche se la ri...
posta 20.03.2017 - 17:04
2
risposte

quale crittografia viene utilizzata in questa variabile JS

Quale metodo di crittografia viene utilizzato per questi nomi di variabili: var g_license_info var g_server_time_obj Criptato rispettosamente in: var ago05b4e111efe149737a67a177f00ffad2 var agj54c415d499dcb6fb35b5fbb3...
posta 16.10.2015 - 15:27