Domande con tag 'web-application'

1
risposta

Danneggiamento di un ETag trapelato

Ho letto più volte che gli ETG trapelati dai server Web sono considerati una vulnerabilità legata alla perdita di informazioni. Ad esempio nelle intestazioni di risposta del server: ETag: X/"1234-56789" Ma non ho trovato una ragione per...
posta 25.05.2018 - 07:28
1
risposta

Mission Impossibile come progetto di applicazione di difesa

Ho un progetto di sicurezza di attacco e difesa per la scuola e non so come proteggerlo dal momento che tutti i metodi classici sono proibiti dalle regole, quindi Assumi il seguente progetto: Un'applicazione Web con la seguente funzionalit...
posta 04.10.2017 - 20:31
2
risposte

SSL è un fattore attenuante per HTTPonly non impostato sui cookie?

Ho alcuni siti che utilizzano HTTPS (nessuna modalità mista HTTPS / HTTP). I cookie non hanno un flag Flag HTTPOnly. Fanno passare gli ID di sessione. Anche alcuni dei siti non hanno un flag "Sicuro" nel cookie insieme al flag HTTPOnly....
posta 26.02.2014 - 01:39
2
risposte

applicazioni web disponibili per i test?

C'è un modo per ottenere un'esperienza pratica con i test delle applicazioni Web mentre non si lavora come tester? Ci sono delle iniziative in cui le persone pubblicano le loro app di produzione e reali per metterle alla prova?     
posta 13.01.2017 - 16:50
3
risposte

Quando IP blocca solo il livello OSI 7 e qual è lo scopo di farlo in più sedi?

Diciamo che c'è un'applicazione che ha una whitelist IP, tutti gli altri IP sono negati. Questo controllo si svolge in tre luoghi diversi: iptables, .htaccess, Script PHP. Ora in quali livelli OSI si adattano queste tre posizioni? Imm...
posta 07.07.2016 - 09:48
2
risposte

Come posso impostare i download firmati?

Scenario Ho un server web che autentica e reindirizza da HTTP a HTTPS. I clienti possono quindi visualizzare "download" disponibili nel proprio account. Voglio essere in grado di firmare questi link di download - come in, voglio che il link s...
posta 24.02.2013 - 06:14
3
risposte

Rilevato tentativo di hacking elaborato - ora cosa?

Sto sviluppando un'applicazione web basata su php / mysql. Ho preso il percorso complicato e piuttosto che utilizzare un framework o qualcosa che ho costruito le fondamenta della mia app da zero. Tutto questo mentre imparavo a codice DAVVERO (sa...
posta 21.09.2013 - 21:26
1
risposta

Dovrei fidarmi di zxcvbn con la mia password?

Voglio misurare l'entropia della password corrente e futura con la formula zxcvbn . C'è un modo per testare e rilevare se l'input su questo sito è veramente confidenziale? Modifica : 1. Ho trovato una soluzione incredibilmente semplice pe...
posta 09.06.2015 - 20:58
2
risposte

Come configurare correttamente OSSEC per la sicurezza delle applicazioni Web?

Vorrei implementare OSSEC come HIDS sul mio server, ma per impostazione predefinita OSSIC monitora un certo numero di cartelle. Ho intenzione di distribuire un'applicazione web sul mio server. Quindi quale dovrebbe essere la mia configurazione O...
posta 18.11.2013 - 17:34
1
risposta

Strumenti automatici per testare le vulnerabilità di sicurezza di Struts OGNL

Sto cercando un modo per trovare le vulnerabilità OGNL di Struts2 (in particolare link e link . ) So che gli aggressori hanno questi strumenti e c'è un modulo Metasploit da usare quando si conosce già la posizione esatta del difetto....
posta 17.12.2013 - 19:39