Domande con tag 'web-application'

1
risposta

Iframe frode postmessage

Ho esaminato del materiale qui e in altri siti relativi all'utilizzo sicuro di Window.postMessage. C'è un sacco di materiale riguardante le migliori pratiche, ma una delle mie domande è rimasta senza risposta. Da ciò che sono stato in grado d...
posta 21.12.2014 - 21:25
1
risposta

Qual è il modo migliore per caricare un file in modo sicuro? [chiuso]

Qual è il modo migliore per caricare un file in modo sicuro? Il mio client è un'applicazione .NET Desktop e il server è Apache Tomcat che esegue file JSP, in esecuzione su un sistema operativo Linux.     
posta 18.07.2016 - 16:53
1
risposta

Impedisci CSRF usando ViewState?

Secondo OWASP puoi prevenire CSRF in un'applicazione ASP.NET se si include il SessionID in ViewState. Dall'articolo: Viewstate can be used as a CSRF defense, as it is difficult for an attacker to forge a valid Viewstate. It is not impos...
posta 22.04.2014 - 01:33
1
risposta

crea un modello appositamente codificato disponibile per i caricamenti di file

Un commento a questo post di blog su sans.org sui caricamenti di file sicuri suggerisce di rendere disponibile per gli utenti un modello preformattato quando hanno bisogno di fare upload di file. L'utente dovrebbe utilizzare il modello per agg...
posta 09.05.2014 - 22:28
1
risposta

firme di attacco [chiuso]

Sto imparando a scuola su firme di attacco su applicazioni web (fondamentalmente OWASP), ma non capisco cosa siano realmente in questo contesto. Qualcuno può darmi dei buoni riferimenti in cui posso capire meglio cosa sono e dove vengono utilizz...
posta 24.01.2014 - 18:24
1
risposta

Accesso "Ghost" a un file php su un server web

Sto sviluppando un progetto personale e una parte del progetto è un sito Web php, ospitato su hostinger come piano gratuito, che consente ai client di eseguire il ping su di esso e memorizza l'IP WAN e l'IP NAT di essi. Possono eseguire il...
posta 03.06.2014 - 13:52
1
risposta

Path Truncation non funziona in PHP durante lo sfruttamento di LFI

Da quanto ho capito in PHP '/ etc / passwd /' o '/etc/passwd/./././' dovrebbe essere trattato come '/ etc / passwd' Sto usando PHP 5.4 e questo non sembra essere vero: php -r "include('/etc/passwd'); " funziona bene ma php -r "in...
posta 25.05.2014 - 17:04
1
risposta

Vulnerabilità di troncamento SQL

Sono venuto a conoscenza della vulnerabilità di troncamento SQL di cui non ero a conoscenza. Sono a conoscenza del fatto che questa vulnerabilità si basa sul fatto che MySQL tronca il valore di una "query di inserimento" se il valore supera la l...
posta 27.06.2014 - 15:21
2
risposte

Il controllo degli elenchi di password è un buon metodo per applicare una politica di password sicura e probabilmente rilevare attacchi di dizionario su un'app basata sul Web?

Ho scritto uno script per controllare una determinata password contro un lungo elenco di 65 milioni di password raccolte da vari elenchi rilasciati dopo i tentativi di hacking. Sto pensando di incorporarlo nel processo di verifica della passw...
posta 23.03.2014 - 13:22
1
risposta

Sicurezza delle applicazioni Web e dei servizi Web

La mia domanda riguarda la differenza tra le normali aspettative sulla sicurezza di un'applicazione Web (destinata alla navigazione tra browser) e il servizio web SOAP. Per un'applicazione Web, una soluzione accettabile per le comunicazioni s...
posta 04.07.2013 - 15:02