Domande con tag 'web-application'

2
risposte

È male lasciare che gli amministratori cambino l'e-mail degli utenti quando ripristinano le password?

Sono confuso su come implementare la funzionalità di reimpostazione della password. Sto testando un'applicazione Web con due ruoli: amministratore e utente normale. Solo gli amministratori possono utilizzare la funzionalità di reimpostazione del...
posta 09.01.2018 - 21:04
1
risposta

Sostituzione della schermata di nome utente e password con una schermata con codice PIN per un accesso mobile più semplice

Ho un'app mobile Android che attualmente richiede all'utente un nome utente e una password per accedere. Per motivi di sicurezza, il token di sessione scade tra 2 ore, quindi deve chiedere spesso il nome utente e la password che possono essere f...
posta 06.09.2017 - 11:59
1
risposta

Vulnerabilità legata al caricamento di file PHP

Sto valutando la sicurezza di un portale web per un cliente e ho trovato una vulnerabilità. Ho trovato una funzione in cui gestisce gli upload di file. Dovrebbe essere usato solo dagli amministratori, ma la funzione effettiva è direttamente r...
posta 15.01.2018 - 22:05
1
risposta

Qualsiasi vulnerabilità di sicurezza in PHP fsockopen

Sto valutando la sicurezza di un portale web per un cliente e ho trovato una vulnerabilità. Nel codice PHP, il codice analizza un URL fornito dall'utente, trova il nome host, quindi esegue questa operazione: fsocketopen ("http: //" $ URL_H...
posta 15.01.2018 - 20:26
2
risposte

Quali funzionalità devo cercare nei servizi di test di vulnerabilità? [chiuso]

Data la cattiva stampa delle violazioni dei dati, la mia azienda sta esaminando le opzioni di test delle penne. Abbiamo esaminato la guida ai test di penna , ma che altro puoi suggerire in modo da non essere hackerato ?     
posta 04.08.2017 - 12:29
1
risposta

Elenco corrente di pratiche PHP sicure? [chiuso]

Sono nuovo a lavorare con PHP, e recentemente ho ereditato un progetto di sito web in cui lo sviluppatore originale stava disinfettando l'input dell'utente con mysqli_real_escape_string() prima di interrogare il database MySQL. Come ho appr...
posta 06.07.2017 - 05:07
2
risposte

Come escludere il backslash dall'esclusione di xss?

Sto cercando di aggirare alcuni filtri XSS. Ogni volta che inserisco una singola citazione ottengo un backslash, quindi ho scritto questo payload: \';alert(1);\' Nel codice sorgente appare così: <script> a = '\';alert(1);\'' </s...
posta 18.08.2016 - 10:51
1
risposta

Come posso proteggere la mia app PHP contro XSS?

Sto aggiornando la sicurezza di un sito esistente (quindi non posso rifare tutto con un framework con funzioni xss integrate), quindi sto cercando un modo per proteggermi dagli attacchi XSS come quelli elenco di OWASP qui . Al momento utilizz...
posta 13.07.2016 - 17:13
1
risposta

Prevenzione dell'iniezione SQL sostituendo 'con' '[duplicato]

Sto lavorando a un'applicazione web vulnerabile all'iniezione SQL nella sua casella di ricerca. Utilizza ASP.Net (C #) e Microsoft SQL Server. Nella casella di ricerca richiede: Select Column1 from TBL where Column2 = N' Here The Search...
posta 06.07.2016 - 14:22
4
risposte

Quali sono i potenziali rischi dell'uso di PGP per l'accesso al sito web?

Attualmente sto utilizzando un sistema di accesso descritto di seguito: Una stringa di 1000 caratteri viene generata sul server ogni volta che il sito viene aperto e funziona per un massimo di 5 minuti, a quel punto viene generata una nuova...
posta 03.09.2016 - 23:32