Domande con tag 'web-application'

1
risposta

I problemi di crittografia JavaScript possono essere mitigati?

All'inizio di quest'anno, mi è stato chiesto di valutare l'utilizzo di JavaScript per crittografare le informazioni sensibili nel browser dell'utente prima di inviarlo al nostro server. Mentre la mia prima risposta è stata "chiedi a un esperto",...
posta 22.12.2017 - 16:32
2
risposte

CSRF con caratteri speciali nel nome del parametro

Sto pentestando un'applicazione web che non usa un token anti-CSRF, ma usa parametri il cui nome contiene due punti. Uno dei parametri è, ad esempio, _pt1:p1:1:pc1:pageToolbar:t_id_ . Quando faccio la pagina di invio automatico HTML con u...
posta 22.10.2017 - 23:03
1
risposta

Differenza tra entità esterne XML e attacchi di inclusione di file remoti

Stavo solo studiando l'attacco di entità esterne XML e Attacco di inclusione di file remoti. Secondo la mia comprensione, l'attacco di entità esterne XML è dove il parser XML nell'applicazione web ha l'opzione di entità esterne abilitate e l'...
posta 27.01.2018 - 20:37
2
risposte

Accesso diretto alle pagine di amministrazione, il server Web o il server delle applicazioni sono configurati in modo non sicuro

Scansione di sicurezza delle applicazioni eseguita sulla nostra applicazione utilizzando lo strumento standard AppScan di IBM e il problema riportato di seguito è stato segnalato. Sono uno sviluppatore .net e ignaro di questi termini di sicurezz...
posta 19.09.2017 - 07:59
1
risposta

SERVER-IIS tentativo di esecuzione di più codici di estensione

Sourcefire ha rilevato un evento SERVER-IIS multiple extension code execution attempt e ha catturato un pacchetto. Originato da un IP cinese, AbuseIPDB ha diversi record sulla sua attività dannosa. Alcuni log includevano una stringa user-ag...
posta 27.09.2017 - 13:28
2
risposte

Informazioni sulla sicurezza dell'applicazione Web - file allegati dall'utente [chiuso]

Ho un'applicazione web (software del forum) in cui sto lavorando a una funzione relativa all'utente che collega i file ai post del forum. L'applicazione è scritta in linguaggio assembly e il database è SQLite. L'approccio che ho usato è qu...
posta 28.09.2017 - 13:47
1
risposta

Definizione del timeout di inattività

Devo eseguire il timer di timeout di inattività della sessione Dal start della prima richiesta all'inizio della prossima richiesta o Dalla fine della prima richiesta all'inizio della prossima richiesta? Un po 'di contesto - Ho un ti...
posta 27.11.2017 - 02:51
2
risposte

Cosa offre migliori garanzie contro la decrittazione / hacking: HTTPS o un'app mobile ben fatta?

Alla luce del recente exploit WPA2 KRACK (che molti produttori di dispositivi e sistemi operativi devono ancora risolvere o correggere), considera tutte le connessioni Wi-Fi non crittografate ai fini della domanda. Sul lato 1 della domanda: u...
posta 03.11.2017 - 19:03
1
risposta

Devo richiedere l'autenticazione per le risorse con una chiave hash? [duplicare]

Ho notato che le mie risorse private di Google Drive, ad esempio, anche se è impossibile "indovinare" la loro chiave hash e ottenerla (ad esempio tbEB6fQTqQcFAoRBXYvnpNVq9F3PUr_cs), tuttavia il server richiede l'autenticazione per accedere all...
posta 08.11.2017 - 14:52
1
risposta

Quali sono i metodi contro la perdita di codice per le applicazioni Web?

Mi piace vedere il livello dell'applicazione Web lato server quanto più indipendente possibile dal sistema operativo, dal software server come (Apache, nginx, IIS, eccetera). Per afferrare facilmente l'applicazione e distribuirla su un sistema p...
posta 20.06.2017 - 09:15