Domande con tag 'web-application'

2
risposte

XMLHttpRequest CSRF non riesce con CORS consentito

Al momento sto lavorando a un PoC per un attacco CSRF, che dovrebbe essere possibile a causa della lassità della configurazione di CORS. Ho il permesso di attaccare. Ora il codice seguente dovrebbe inviare una richiesta OPTIONS, che include t...
posta 21.09.2018 - 09:36
2
risposte

CSRF con un'API JSON CORS [duplicato]

Abbiamo api.example.com che comunica con app.example.com, un'app Android nativa e un'app iOS. Vogliamo consentire ad altre terze parti di comunicare con l'API anche se lo desiderano, e come tale abbiamo Access-Control-Allow-Origin: * head...
posta 15.01.2018 - 15:11
2
risposte

Come sapere se una pagina Web ASP è vulnerabile all'iniezione SQL?

Ho alcune esperienze di lavoro con applicazioni Web PHP vulnerabili all'iniezione SQL e sfruttano questo tipo di vulnerabilità con successo ma non ho mai provato a farlo su un'applicazione web basata su ASP. Quando proviamo a scoprire se un'appl...
posta 19.11.2017 - 18:36
1
risposta

Limitazione delle ricerche nel database tramite metadati di token

Ho un'app. Dopo aver effettuato correttamente il login, gli utenti ricevono un token di autenticazione jwt che contiene vari dati e scade tra 30 min. È necessario un token valido affinché l'app possa chiamare varie funzioni di back-end e acceder...
posta 26.11.2017 - 21:29
2
risposte

Come eseguire questo script dall'immagine?

Sto testando la mia applicazione per le vulnerabilità della sicurezza. Ho inserito javascript in una gif e l'ho caricato nell'applicazione. L'applicazione carica l'immagine nel tag <img> . Lo script viene eseguito solo se l'immagine è...
posta 16.02.2018 - 06:20
2
risposte

Dovremmo archiviare file di applicazioni Web quando siamo costantemente in sviluppo nella directory criptata?

Il problema con la crittografia è che diventa più lento: link È particolarmente importante quando sviluppi applicazioni symfony, perché symfony è la struttura di sviluppo più lenta che abbia mai visto finora. Se non criptate e il vost...
posta 09.02.2018 - 17:08
2
risposte

In che modo le istanze private SearX proteggono la privacy degli utenti?

SearX è un motore di ricerca raccomandato da privacytools.io . Mi è piaciuta l'idea di un motore di ricerca completamente open source e controllato dall'utente e ho anche installato un'immagine docker con SearX nella mia macchina locale che fun...
posta 11.05.2018 - 10:07
2
risposte

È sicuro memorizzare le immagini caricate come dati blob nel database?

Sto scrivendo un'applicazione web Java e sto cercando di prevenire le vulnerabilità del caricamento dei file memorizzando le immagini del profilo caricate come blob nel database. È sicuro conservare le immagini caricate in un database in un data...
posta 22.10.2017 - 01:25
2
risposte

È sicuro visualizzare le informazioni sulla versione su una pagina Web pubblica della tua app Web?

Conosco un'azienda ecommerce con un sito Web pubblico, ad esempio www.app.com che ha una pagina www.app.com/version.jsp che è anche accessibile pubblicamente. La pagina ha le seguenti informazioni. Build Info Path: /root/version/app/v5.6/b...
posta 29.09.2017 - 01:58
1
risposta

Il campo e la funzione di input sono sicuri? [chiuso]

Sto solo imparando a conoscere la sicurezza IT, quindi questa è roba di base e sto forse pensando troppo. 1. Ho questo campo di immissione sul mio sito wordpress (ssl è attivo) che indirizza l'utente al prodotto che ha inserito: HTML...
posta 19.08.2017 - 00:50