Domande con tag 'web-application'

0
risposte

Acquisizione del traffico HTTP attraverso il server proxy

Durante l'esecuzione della valutazione della sicurezza su un'applicazione Android (ambiente UAT), non riesco a catturare il traffico HTTP tramite server proxy (Burp Suite / OWASP Zap). Non ha senso l'implementazione di misure di sicurezza come...
posta 13.11.2018 - 12:26
1
risposta

Esecuzione di codice in modalità remota e vulnerabilità XSS. Quali passi dovrebbero essere presi per proteggere un server una volta scoperti e riparati?

Sono appena stato informato di una vulnerabilità legata all'esecuzione di codice in modalità remota e di una vulnerabilità xss su un sito che eseguo. Ho corretto il codice responsabile, ma mi chiedo quali passi dovrebbero essere presi in seguito...
posta 30.10.2018 - 21:35
0
risposte

Protezione dei segreti delle applicazioni Web dopo l'esecuzione del codice

Vorrei chiarire le pratiche di protezione per la gestione dei segreti del database con l'applicazione Web connessa al database, utilizzando i contenitori Docker. L'obiettivo è determinare come proteggere i segreti anche se un utente malintenzion...
posta 29.10.2018 - 00:28
0
risposte

Come assicurarsi che la chiave API non possa essere solo copiata e utilizzata

Una cosa su cui faccio spesso fatica a sviluppare le mie API è l'autenticazione. Non ho avuto grossi problemi con questo quando li stavo creando per un solo sito web ed ero in grado di implementare il seguente flusso: Il server crea una sess...
posta 23.08.2018 - 19:37
1
risposta

Test CSRF. Errore di convalida 422. Locale richiesto

Quindi sto testando questo sito per corsi e penso che potrebbe essere vulnerabile CSRF tuttavia, quando provo a fare una richiesta di post ottengo un errore di convalida che dice che "locale" è richiesto nonostante io specificandolo nella richie...
posta 22.08.2018 - 18:15
0
risposte

Come distruggere il codice di busting del frame senza sandbox

Inserito in stackoverflow, ma le persone sembrano essere spaventate dal codice di exploit. Ho la seguente pagina index.html che contiene un iframe. <body> <iframe id="other" src="http://www.example.com"width="1250" height="500">...
posta 15.06.2018 - 23:50
0
risposte

Modello sandbox Java: basta il ClassLoader?

Sto creando un'applicazione web che esegue codice non affidabile scritto dall'utente in Java. Ovviamente il codice non dovrebbe avere accesso a qualsiasi cosa io non voglia, quindi ho voluto implementare il Java Sandbox Model. Come parte di Sand...
posta 18.07.2018 - 11:44
1
risposta

Standard di sicurezza per la memorizzazione dei dati dei clienti privati

Un regolamento governativo del mio paese impone a tutti i donatori non residenti di fornire una copia della loro identificazione (di solito, il passaporto). Quindi, chiediamo ai donatori di caricare una copia dei loro passaporti mentre fanno...
posta 14.09.2013 - 14:01
1
risposta

PHP implicazioni sulla sicurezza di gethostbyname

Sto lavorando su un'applicazione PHP. C'è un requisito per trovare IP per nome host e devo ricorrere a gethostbynamel per questo. Sembra che non ci sia altro modo. Mi stavo chiedendo se ci sono delle implicazioni sulla sicurezza relative a qu...
posta 20.09.2013 - 12:18
1
risposta

alternative al percorso di attacco per XXE

Quindi ho trovato un attacco Xml External Entity (XXE) cieco contro un'infrastruttura SAML durante un impegno con il client, ma mi ha dato problemi cercando di sfruttarlo prima. Posso costruire un semplice XXE: <?xml version="1.0" encoding=...
posta 07.06.2018 - 02:38