Domande con tag 'web-application'

1
risposta

Quali aspetti di sicurezza devono considerare i siti di valutazione online? [chiuso]

Quando costruisci un sito di valutazione online che consente agli studenti di sostenere l'esame tramite i propri dispositivi (ma sono tutti nella stessa stanza durante l'esame), che tipo di vulnerabilità di sicurezza deve considerare il sito di...
posta 08.07.2017 - 10:03
1
risposta

Qual è il vantaggio aggiuntivo di avere un token CSRF per un link di attivazione dell'account?

Abbiamo una semplice webapp in cui un utente dovrà creare un account. Per verificare il loro indirizzo email (che sarà usato per inviare notifiche in seguito per motivi di lavoro, che è una delle caratteristiche principali dell'applicazione), in...
posta 03.08.2017 - 11:49
1
risposta

Esecuzione del codice LFI quando la directory specificata

Sto lavorando su hackme, che introduce LFI nel codice php. <?php if (isset($_COOKIE["user"])) { $file="txt/".$_COOKIE["user"]; include $file; } ?> Quindi posso includere qualsiasi file dal sistema semplicemente impostando l'ut...
posta 04.08.2017 - 15:14
1
risposta

Una stringa casuale personalizzata farebbe ciò che voglio?

In anticipo, per favore trascuri la mia ingenuità. Ho un'app di servizio che parla con un web API. Voglio solo che il servizio parli con il web API, nient'altro. Significa che devo proteggerlo e sto cercando di capire perché dovrei usare un cert...
posta 22.04.2017 - 10:13
1
risposta

Protezione di un URL Web quando viene chiamato da un'applicazione client

Stiamo sviluppando una singola app Angular2 / NodeJS che avrà un modulo basato sul web per i nostri utenti da compilare e inviare. Non abbiamo nessuna applicazione Web per i nostri utenti per accedere (quindi nessun SSO), ma il nostro gli utenti...
posta 16.06.2017 - 20:38
1
risposta

Pagina protetta con autenticazione di base accessibile senza intestazione ma non da IP diversi

Sto guardando un sito Web che utilizza l'autenticazione di base per autorizzare gli utenti. Quando guardo la richiesta, una volta autenticato, aggiunge l'intestazione Authorization: Basic cm9vdDpwYXNzd29yZA== (sono consapevole che questo...
posta 31.01.2017 - 11:05
1
risposta

informazioni crittografate che non sono accessibili agli amministratori di database

Lavoro con asp.net core 1 e introdurrò una memoria crittografata di dati utente. Questi dati non devono essere accessibili all'amministratore del database ma solo agli utenti con una passphrase. Ho pensato di usare: IdentityServer per gar...
posta 31.01.2017 - 12:48
1
risposta

Quali sono i modi per popolare le liste di parole della directory web?

Contesto: come pentester ottengo spesso indirizzi IP in cui sono ospitati i siti web. Poiché a volte il DNS non è disponibile o il client desidera un test della scatola nera, è difficile accedere all'applicazione ospitata. Una tecnica comunement...
posta 17.02.2017 - 11:42
1
risposta

Rispondi alla mia iniezione html?

Pratico l'iniezione di HTML sul sito web dei miei amici (sa che mi sto esercitando). Quindi ho trovato una vulnerabilità se digito <!----> nella casella di ricerca nome utente o password sito web ignora. e ho praticato alcuni tag nell...
posta 21.02.2017 - 08:45
1
risposta

Alternativa alla memorizzazione delle password quando si tratta di integrazioni che consentono solo l'autenticazione con nome utente / password? [duplicare]

Sto lavorando a un'integrazione con un servizio esterno che richiede l'autenticazione per utente, come ad esempio Facebook, ma a differenza di Facebook consente solo l'username e la password per questa autenticazione. Il mio background di base...
posta 07.03.2017 - 13:04