Domande con tag 'web-application'

1
risposta

Metodi per caricare la shell su un sito web

So che le shell possono essere caricate tramite SQL injection, l'inclusione di file remoti e l'utilizzo del meccanismo di caricamento dell'app stessa. Esistono altri modi per caricare una shell su un sito Web e poter eseguire comandi?     
posta 22.02.2013 - 09:59
1
risposta

UUID e Open_id nel cookie 'buono' abbastanza?

Sto usando Tomcat 7, jsp per costruire un piccolo sito web. Sono nuovo alla sicurezza ed è un progetto scolastico, quindi usare Spring Security non è un'opzione. Sto tentando di memorizzare UUID e Open_id nei cookie dei client per la funzional...
posta 21.03.2013 - 03:27
3
risposte

I cookie di tracciamento sono illegali?

Ho un sito web per commercianti. Quando un utente visita il sito Web, viene impostato un cookie. Quindi, quando lo stesso utente visita di nuovo il sito, gli forniamo suggerimenti, contenuti che gli possono piacere basandosi su ciò che gli è pia...
posta 05.10.2012 - 16:05
1
risposta

Wifi reindirizzare le applicazioni

Potrebbero sembrare domande un po 'ingenue come sono un principiante. Ma faccio del mio meglio per metterlo in parole. Potresti avere esperienza quando a volte vuoi usare internet in un bar, ad esempio (con il tuo dispositivo wifi, naturalmente,...
posta 02.01.2013 - 18:43
2
risposte

C'è una guida che dice che tutte le sessioni devono essere disconnesse quando un utente cambia la propria password?

Spesso quando un account viene violato, le indicazioni di sicurezza cambiano la password. Tuttavia, ho notato che cambiare una password a volte non è sufficiente per disconnettersi da altre sessioni attive. Esistono indicazioni di sicurezza...
posta 28.11.2012 - 17:05
1
risposta

Aiutare gli sviluppatori a trovare difetti logici e di autorizzazione

I tester di penetrazione professionale di solito sono bravi a trovare tutti i tipi di vulnerabilità, compresi i difetti logici, che sono altamente specifici per il sito in fase di test. Tuttavia, essendo un'attività manuale, i test di penetrazio...
posta 29.10.2013 - 15:59
1
risposta

Protezione del database MySQL pubblicamente esposto per il progetto CS di gruppo

Ciao, sto cercando qualche consiglio. Per un corso di programmazione C ++ avanzato sto prendendo un altro studente e sto facendo un progetto. Per questo progetto intendiamo utilizzare un database MySQL come database di back-end. Vorrei configura...
posta 16.09.2013 - 02:22
2
risposte

Blocco account per proteggere dalla forza bruta: non apre vulnerabilità agli attacchi DOS? [duplicare]

AFAIK la pratica raccomandata per mitigare gli attacchi a forza bruta consiste nel bloccare un account per, diciamo, 15 minuti (forse un'escalation del tempo di lockout se l'attacco continua dopo?) dopo, diciamo, 5 tentativi di accesso falliti...
posta 16.11.2018 - 21:16
1
risposta

Quali minacce ha un'applicazione web stateless? (al contrario di una sessione "full-state")

Sto confrontando i pro e i contro tra una sessione ASP.NET MVC autenticata "stateless" rispetto a un'applicazione ASP.NET Forms con viewstate. Supponendo che ci sia una webfarm con più di 1 server web dietro un load balancer: What threa...
posta 09.11.2011 - 15:00
1
risposta

Come nascondere il pop-up della vittima nel clickjacking?

Sto testando un'applicazione Web per la vulnerabilità di click-jacking. L'attacco funziona bene per singoli clic, tuttavia sto cercando di eliminare un file e il frame nascosto (vittima) genera una conferma a comparsa. C'è un modo per nascond...
posta 19.04.2013 - 13:43