Domande con tag 'web-application'

1
risposta

Script XSS riflesso che passa attraverso l'URL come farlo funzionare e quali sono i presupposti per il suo funzionamento?

Cercando di conoscere la sicurezza, ho creato il sito web più semplice sul mio localhost composto da una pagina html fornita da un server Apache. Ho iniziato a provare e ad aggiungere lo script JS che sarebbe stato eseguito alla fine di un URL:...
posta 20.09.2014 - 04:37
1
risposta

Condivisione della chiave pubblica RSA per la decodifica del JWT tra i server Load Balanced

Sto cercando di implementare un meccanismo di autenticazione senza cookie per un'API Web che è stateless sul server (non memorizza i token di sessione) e può essere bilanciato su più server. Ho implementato un JWT che viene restituito a un cl...
posta 13.10.2014 - 21:27
2
risposte

XSS in JavaScript

Recentemente ho scoperto una cosa in un'applicazione web e ho scoperto che l'URL si riflette nell'origine della pagina, il che lo rende un po 'ovvio per XSS, ma l'input dall'URL che si riflette sulla sorgente viene assegnato all'interno di una...
posta 21.09.2014 - 14:41
1
risposta

Legge sul tester delle app web freelance sulla violazione dopo scansione [chiusa]

Se dovessi fare un test di app web su un sito di società e non ho notato nulla e la società è stata violata tramite l'app ho provato cosa potrebbe tornare indietro? Come potrei proteggermi legalmente?     
posta 18.02.2015 - 21:01
2
risposte

Sono campi di input che non hanno nome="" inviati tramite il browser [chiuso]

I campi di input che non hanno attributi name suscettibili agli attacchi MITM (senza SSL) o altri attacchi? Ad esempio: <form action="" method="post"> <label for="credit_card_number"><input id="credit_card_number" ty...
posta 20.08.2014 - 03:41
2
risposte

Strumento principiante per simulare l'alluvione HTTP sul mio sito web

È disponibile uno strumento facile da usare che possa essere utilizzato per produrre un'inondazione GET HTTP su un sito Web che gestisco? In tal caso, puoi spiegare nei passaggi come usarlo? Devo farlo a scopo di test. Il nostro sito Web è sp...
posta 22.04.2017 - 17:20
1
risposta

Esistono requisiti HIPAA per crittografare il nostro database ospitato in AWS

Sto sviluppando Medical Billing & Software EHR. Al termine, stiamo pianificando di utilizzare AWS per l'hosting e quindi fornire SAAS. Abbiamo bisogno di crittografare il database MySQL per mantenere la conformità HIPAA? Sono a conoscenza...
posta 30.05.2014 - 08:05
1
risposta

L'iniezione SQL è possibile ma le query selezionate non funzionano

Sono black-box per testare un'applicazione che usa il framework java spring e MySQL nel back-end. Quando inserisco una virgoletta singola ( ' ) in un campo della casella di testo, il server restituisce un codice di stato HTTP 500 Errore i...
posta 13.06.2014 - 13:03
2
risposte

Come ridurre l'attraversamento della directory quando l'input fornito dall'utente è un caso aziendale obbligatorio?

Ho un'istanza in cui abbiamo un'applicazione che richiede la possibilità di impostare comandi sftp che sono specificati dagli utenti amministrativi. Sono configurati attraverso il front-end dell'applicazione. Veracode ha identificato correttamen...
posta 21.03.2014 - 17:52
2
risposte

SqlMap ignora OWASP ModSecurity Set di regole core per SQL Injection

Sto cercando di eseguire un semplice test di penetrazione su DVWA (l'applicazione Web che è stata specificamente progettata per essere vulnerabile ad alcuni dei più comuni attacchi di applicazioni Web). Desidero utilizzare ModSecurity WAF per...
posta 18.03.2014 - 04:24