Domande con tag 'web-application'

2
risposte

L'XSS riflesso funziona solo tramite Burp Repeater a causa della codifica dell'URL

Sono in grado di ottenere XSS riflesso attraverso il ripetitore burp utilizzando una richiesta GET. Quindi faccio clic su Mostra risposta nel browser e sono in grado di ricevere un avviso XSS. Ma quando vado manualmente all'URL nel mio browser i...
posta 09.02.2018 - 20:39
2
risposte

Importanza di un breve termine di scadenza su JWT

Al momento utilizziamo token Web JSON per l'autenticazione per l'API del nostro sito Web. Utilizziamo token di accesso di durata breve di 1 ora che vengono aggiornati mediante un token di aggiornamento revocabile permanente. Ora vogliamo aggiun...
posta 18.02.2018 - 21:24
1
risposta

Con HTTPS, posso conoscere con certezza il dominio client per l'autenticazione con la mia API

Ho difficoltà a trovare il titolo migliore per questa domanda, ma lascia che ti spieghi la mia situazione: Ho un'app di chat-room-as-a-service simile a Intercom. Chiunque può caricare la chat in un iframe e visualizzarla nel proprio sito. Vog...
posta 06.05.2017 - 00:20
3
risposte

Spoofing di un GUID

Al lavoro oggi stavo discutendo sull'identificazione di un utente tra due server Web che avranno accesso allo stesso DB di back-end. Ho suggerito di utilizzare un GUID per identificare la sessione utente , ma un collega ha detto che i GUID poss...
posta 21.04.2017 - 19:00
1
risposta

Perché qualcuno dovrebbe inviare un sacco di indirizzi e-mail a un modulo che non fa nulla?

Gestisco un semplice sito Web di lead generation per un amico, costituito da una singola pagina con un modulo HTML con un solo campo: indirizzo email. Riceviamo un numero imprevisto di POST sull'URL di azione del modulo. Ognuno ha un indir...
posta 28.07.2017 - 12:28
4
risposte

Come deve essere garantita la connessione tra un server ospitato e un database?

Man mano che apprendo sulla sicurezza delle app Web, l'attenzione si concentra sulle avventure tra il client e il server delle app. Per illustrare, i certificati SQL injection e SSL sembrano essere principalmente interessati alla connessione tra...
posta 26.03.2017 - 04:53
1
risposta

Sicurezza del sito web mobile

Ho un progetto scolastico con il nome dell'argomento "Sicurezza del sito web mobile" che è un po 'confusa. L'obiettivo è scrivere un rapporto sul tipo di minacce e le difese contro queste minacce Da quanto ho capito, un sito web mobile è fond...
posta 18.03.2017 - 13:24
2
risposte

Informazioni su preg_replace Filtering & Exploitation

Ecco la dimostrazione del concetto del codice: <?php $input=$_GET['input']; print preg_replace('/[A-DH-M0-9._%+-]+@(.+)\.[A-Z]{2,4}/mADsex', 'strtoupper("\1")', $input); ?> Non capisco bene cosa faccia il filtro, tutto quello che capi...
posta 12.02.2017 - 19:43
2
risposte

Ricordami contro sessione persistente per applicazioni web

Questa domanda ha lo scopo di raccogliere informazioni su quali siano i vantaggi / svantaggi specifici della sicurezza nell'utilizzare una funzione "ricordami" per un sito Web online basandosi su sessioni rispetto a rendere la sessione persisten...
posta 28.06.2016 - 14:53
1
risposta

Come raggiungere una funzione Python nascosta con l'iniezione HTML in un'app Web?

Stavo facendo un problema con l'applicazione web CTF che ha un modulo Web che è vulnerabile all'iniezione di codice HTML. L'obiettivo del problema è raggiungere una funzione Python nascosta in quella web app. È un'applicazione web basata su Pyth...
posta 14.10.2016 - 02:11