Domande con tag 'web-application'

4
risposte

Rilevazione di frodi per evitare utenti falsi

So che non esiste una soluzione al 100% per il rilevamento delle frodi, ma almeno desidero impostare un certo livello di fiducia in questo caso d'uso. Supponiamo di avere un sistema in cui: Un utente deve effettuare una registrazione Un...
posta 11.02.2016 - 12:28
1
risposta

È in corso la registrazione di un utente con CSRF come problema di sicurezza? [duplicare]

Ho trovato il seguente comportamento su un sito web relativamente popolare: Hanno una route GET per la disconnessione (ad esempio /api/user/logout ). Ciò mi consente di scrivere ![](/api/user/logout) in un commento o qualsi...
posta 17.02.2016 - 06:17
2
risposte

Come prevenire l'XSS riflesso con Java Struts Framework? [chiuso]

Ho un'applicazione che viene eseguita sotto il server Jboss. Ho davanti un server Apache. La mia applicazione contiene una vulnerabilità di sicurezza (XSS Cross-site scripting). Volevo sapere che dovevo apportare modifiche al codice (HTML, Ja...
posta 22.02.2016 - 15:27
2
risposte

Attacco a relè contro Captcha

Sto implementando un sito web che includeva il mio testo Captcha (non uso alcun servizio Captcha - come reCaptcha). il codice Captcha serve ogni sfida (cioè l'immagine) solo una volta per entrambi i processi di visualizzazione e verifica. Qualcu...
posta 05.02.2017 - 23:26
4
risposte

Gli utenti possono accedere con la stessa password quando viene richiesta una modifica della password ma non viene modificata?

Ho notato che alcuni siti non consentono di accedere con la vecchia password se viene richiesta una nuova password, ma non è stata modificata. Esempio: ho dimenticato la mia password e ne ho richiesta una nuova nell'e-mail. Ricevuto l'e-mail...
posta 09.02.2017 - 10:53
2
risposte

Come posso dimostrare l'XSS riflesso tramite i metodi post

Stavo cercando di creare un PoC di XSS: Esempio di attacco: Ho inserito lo script nel valore: <html> <body> <form action="https://test.com/api/users.prefs.set?t=1447648400" method="POST"> <input type="hi...
posta 16.11.2015 - 06:08
1
risposta

Il messaggio di errore dell'intestazione HTTP sembra cablato. È un attacco di overflow del buffer?

Il mio log degli errori gerrit mostra i seguenti caratteri del codice shell: [HTTP-64] WARN org.eclipse.jetty.http.HttpParser : Illegal character 0x5 in state=START for buffer HeapByteBuffer@af151b6[p=1,l=3,c=8192,r=2]={\x05<<<\x01\x...
posta 31.10.2016 - 08:08
2
risposte

Public Key Infrastructure: invio sicuro dei dati a CLIENT?

Ok, quindi ho cercato la crittografia a chiave pubblica e l'ho usata un po 'su alcune delle mie applicazioni web. Da alcuni test, capisco che il server contiene due chiavi e invia la chiave pubblica al client. Con questo tipo di sistema, il c...
posta 25.11.2015 - 07:35
4
risposte

È una vulnerabilità se i cookie di un'applicazione contengono informazioni sensibili?

Sto valutando una piccola applicazione web di e-commerce. Ho trovato che l'applicazione trasmette i dettagli dell'ordine, il costo, l'ID ordine ecc. Come parte del cookie. La manomissione non influisce sulle operazioni. Tuttavia volevo sapere...
posta 05.07.2016 - 02:12
1
risposta

Come posso controllare tutte le richieste del mio sito web? [chiuso]

Devo gestire le richieste del mio sito web. A causa di entrambi, devo rilevare le richieste sospette e bloccare l'IP e calcolare il numero di utenti che visitano il mio sito Web. Quindi ho creato una tabella come questa: // requests +----+-...
posta 21.06.2016 - 11:14