Domande con tag 'web-application'

1
risposta

Token XSRF aggiunto ai moduli dinamicamente

Non l'ho visto da nessuna parte in natura, quindi mi chiedo se è sicuro iniettare nei moduli della stessa origine l'input nascosto contenente il token XSRF usando JavaScript come questo: document.addEventListener('DOMContentLoaded', () =>...
posta 12.01.2017 - 01:57
2
risposte

Quali precauzioni dovrei prendere prima di consentire agli utenti di inviare e-mail tramite la mia app?

Sto lavorando a un'applicazione di gestione dei contatti / leggera CRM e vorrei poter consentire ai miei utenti di inviare e-mail ai propri contatti attraverso la mia applicazione. Ovviamente questo apre una grande quantità di worm in termini di...
posta 23.08.2016 - 11:47
0
risposte

Come ricordare la macchina affidabile in un'applicazione

Dobbiamo ricordare i dispositivi fidati nella nostra applicazione. Ho fatto alcune R & D per questo e ho scoperto che Facebook realizza questo utilizzando i cookie. Ma, se vedo Google, non usano i cookie, immagino. Come possono identifica...
posta 08.04.2016 - 17:03
2
risposte

Qual è la best practice per la sicurezza delle applicazioni Web per HTTP Richiedi la richiesta? [duplicare]

Se ho l'URL GET dell'applicazione web che mi fornisce i dettagli di un particolare utente. Cos'è più sicuro / che è una buona pratica? ad es. www.xyz.com/user?id=10 o www.xyz.com/user?fname="abc"&lname="lmn" Oppure qualcos'alt...
posta 11.04.2016 - 09:30
0
risposte

Accesso sicuro agli utenti nelle applicazioni

Vogliamo creare un'applicazione desktop GUI Java per il nostro personale di helpdesk autorizzato per eseguire le normali operazioni. Ad es. spesso devono controllare la presenza di errori nei file di registro se un utente ha chiamato o verificat...
posta 01.11.2015 - 07:49
4
risposte

Perché https autofirmato è meno affidabile di http non criptato?

Non sarebbe inverosimile supporre che almeno il 50% del traffico web possa essere intercettato nel 2014. Tuttavia, un'ipotesi di attacchi di intercettazione attiva è probabilmente inferiore di un ordine di grandezza, probabilmente ben al di s...
posta 29.06.2014 - 03:41
0
risposte

Il browser forzato non codifica i caratteri specifici dell'URL? [duplicare]

Cerco di far funzionare XSS in una richiesta GET, ma funziona solo all'interno di BURP perché posso inviare ad esempio > come stringa non codificata URL. Appena lo provo nel browser, non è più possibile perché il browser codifica >...
posta 29.02.2016 - 14:58
3
risposte

Dove si trova la posizione più sicura per ospitare un pannello di amministrazione?

Ho un pannello di amministrazione sul mio sito, che mi consente di controllare il contenuto sul mio sito web. Per fare in modo che il pannello di amministrazione ottenga ciò, devo avere una connessione al database del sito. Ho due opzioni per...
posta 09.06.2015 - 15:03
0
risposte

Ottieni informazioni IP / di rete con Inclusione file locale

Ho pensato di espandere ciò che potevo fare con un attacco LFI per estrarre in qualche modo le informazioni che di solito otteniamo invocando i comandi. E dal momento che un sacco di cose in Linux si comporta come un file o almeno flussi di byte...
posta 31.12.2016 - 20:11
0
risposte

BWAPP html injection on level high [closed]

Sto tentando di aggirare GET HTML injection in Buggy Web App (BWAPP) . Il payload dal campo di input viene stampato in HTML dopo l'invio. Basso livello di sicurezza può essere bypassato semplicemente dal semplice payload html nei ca...
posta 19.12.2016 - 01:35