Domande con tag 'web-application'

2
risposte

Va bene se è possibile accedere alle app nell'ambiente di pre-produzione senza VPN?

Le applicazioni web "per cliente" di un'azienda sono implementate nei loro ambienti di pre-produzione. È possibile accedere alle app in questi ambienti senza alcuna VPN. Tutto ciò di cui hai bisogno è l'URL pubblico. Dubito che sia possibile acc...
posta 03.03.2017 - 00:15
1
risposta

Gli attacchi temporali per PHP sono utilizzati nella pratica? [duplicare]

Sono curioso, in che misura le password sono sfruttabili se il confronto delle password sottostanti è vulnerabile agli attacchi temporali. La mia preoccupazione principale è che la velocità di internet varia continuamente, i tempi di risposta...
posta 22.03.2017 - 13:42
1
risposta

Quanto è sicuro il mio codice sorgente Heroku?

Uso Heroku per ospitare un piccolo numero di servizi. Voglio capire meglio le autorizzazioni di accesso ai file che sto inserendo nelle istanze di Heroku. Prima di tutto, sono consapevole che sto trasferendo i miei dati a un'azienda esterna,...
posta 09.02.2017 - 09:07
1
risposta

Come inviare in modo sicuro i cookie da un sito all'altro tramite userscript?

Sono parte della creazione di un servizio di terze parti per un gioco online. Attualmente per estrarre i dati del gioco dall'esterno del gioco uso i miei cookie di autenticazione, tuttavia, voglio renderlo disponibile agli altri giocatori per ve...
posta 06.01.2017 - 04:50
1
risposta

iDevAffiliate vulnerabile a un caricamento di file, come possiamo limitare il danno?

Il software di affiliazione iDevAffiliate fornisce software di affiliazione per avviare il monitoraggio delle affiliazioni. È protetto da ioncube che rende piuttosto difficile il controllo del codice per la vulnerabilità. È il punto di ingres...
posta 28.12.2016 - 13:25
1
risposta

Come si ottiene un conteggio di URL nidificati unici in un'applicazione Web?

Sto esaminando un'applicazione web per un pentest. L'applicazione ha un numero di URL nidificati dinamici. Ho scansionato tutti gli URL dell'applicazione tramite Burp-suite. Devo ottenere un elenco di URL nidificati unici nell'applicazione. Qual...
posta 15.11.2016 - 03:58
1
risposta

Come convalidare il token CSRFGuard sul lato server?

Ho implementato la libreria OWASP CSRFGuard per proteggere la mia applicazione dagli attacchi CSRF. Sto utilizzando il file JavaScript CSRFGuard e il servlet per iniettare i token CSRF in tutte le richieste Ajax. Finora vedo che il token è stato...
posta 30.12.2016 - 19:00
2
risposte

Qual è il metodo migliore per archiviare l'host SQL, il nome utente e la password per più database?

Ho un progetto di grandi dimensioni con più server Web (uno per ogni client), un'applicazione (per tutti i client) e più database SQL (uno per ciascun client) come illustrato di seguito. . Per motivi di sicurezza ho bisogno di avere pass...
posta 02.01.2017 - 17:46
1
risposta

GWT - utilizzo di burp suite per l'iniezione di payload xss

Costruisco un piccolo sito Web per scopi di test di penetrazione utilizzando il framework Google Webtool Kit . Tuttavia, ero in grado di rendere l'applicazione vulnerabile a xss usando il seguente codice: final HTML xssWidget = new HTML...
posta 22.12.2016 - 14:20
1
risposta

Cos'è la 'disassociazione della shell modulare dal kernel'

Sotto molte risorse diverse ( link per uno), ci sono alcuni ottimi consigli per difendersi dall'iniezione di codice. Tuttavia, uno di questi è 'Disassociation shell modulare dal kernel' - ma dopo un po 'di ricerca su Google, questo termine n...
posta 03.11.2016 - 05:58