Domande con tag 'web-application'

2
risposte

Database compromesso e alcune password incrinate

Gestisco un gioco MMORPG e oggi mentre si sposta da un server a un altro, apache ha fallito e ha elencato alcuni dati sul server incluso un back-up di tutto il codice sorgente + database che alcune persone hanno scaricato Quando ho capito che...
posta 26.07.2014 - 03:42
2
risposte

Content sniffing XSS attack?

Come parte del lavoro, ho trovato lo sniffing dei contenuti e ho capito che le app Web possono essere vulnerabili a xss a causa di ciò. C'è un altro post, riguardante lo sniffing e xss dei contenuti, ma non ha risposto alla mia domanda, o forse...
posta 22.07.2014 - 05:24
2
risposte

HTTP BA da un server diverso [duplicato]

C'è una strana situazione in cui sono bloccato riguardo all'autenticazione di base HTTP. Di seguito è una situazione ipotetica: Diciamo che c'è un certo dominio, diciamo link e c'è un certo URL come: link che myfacebook.com ha proget...
posta 23.01.2015 - 11:30
1
risposta

È possibile creare un servizio web immune ai DOS?

Ho sentito dire che un servizio che sto usando sul web ha alcuni problemi con il rifiuto del servizio. Mi chiedevo se fosse teoricamente possibile creare un servizio web in cui l'utente può inviare dati e che è immune ai DOS?     
posta 04.01.2015 - 17:24
2
risposte

Posso caricare qualsiasi file su una webapp ASP / server IIS ma non so dove (quale cartella), è sfruttabile?

Sono in grado di caricare qualsiasi file su una webapp ASP / server IIS. Il mio primo compito è caricare una shell ASP ma non so dove il file è stato caricato . Ho scritto uno script Python che inizia con gli URL scaricati da ZAP, fa rich...
posta 26.05.2014 - 17:47
1
risposta

Qualsiasi motivo per cui non dovrei fare salatura e hashing prima di passare a bCrypt?

Ho letto sull'archiviazione delle password e così via, e sono giunto alla conclusione che ho bisogno di usare bCrypt. Ho un'implementazione che funziona correttamente, ma mi sto chiedendo quale sia il modo migliore per andare avanti con la mia a...
posta 21.05.2014 - 17:46
1
risposta

Un nome utente / password + PIN con e-mail contano come 2FA strong?

Per accedere a un'app Web aziendale, il nostro team di sicurezza insiste su 2FA poiché è ospitato sulla nostra rete interna. La soluzione proposta è quella di avere un nome utente standard (indirizzo email) e un accesso con password, che atti...
posta 05.06.2014 - 10:30
1
risposta

Il sito HTTPS non viene catturato da BURP

Sto testando un sito web, fondamentalmente mappando il sito usando Burpsuite. Ma c'è un link (https) che non posso elaborare mentre il proxy su firefox è abilitato. Mi chiede i certificati e, quando mi assicuro di aver compreso i rischi e di far...
posta 15.05.2014 - 14:43
2
risposte

Quali possono essere gli effetti dell'XSS riflesso sulla pagina di accesso?

Sono un principiante in WASA. Quali sono i probabili effetti negativi di una vulnerabilità XSS riflessa nella pagina di accesso? Diciamo che il riflesso XSS è identificato nel parametro username nella pagina di accesso.     
posta 22.09.2016 - 11:22
2
risposte

Rischi di usare cookies non crittografati

Sono in procinto di creare un sito Web di notizie curate e mi sto interrogando sulla sicurezza / sicurezza dell'utilizzo di cookie non crittografati per memorizzare le informazioni di base dell'utente (nome e codice postale). Quali sono i rischi...
posta 26.09.2016 - 23:30