Domande con tag 'web-application'

0
risposte

Decrittografia con autenticazione a due vie

Abbiamo un cliente che desidera che i suoi dati sensibili dell'utente vengano archiviati con una crittografia. Questi sono i requisiti di base: I dati sensibili dell'utente vengono memorizzati in un database utilizzando la crittografia...
posta 26.05.2016 - 15:32
1
risposta

Le sottodirectory pypi dovrebbero essere accessibili dal browser web?

Sono un ricercatore di sicurezza e quando stavo prendendo le impronte digitali su una applicazione web ho scoperto che tutte le sottodirectory di domain.com/pypi erano accessibili dal browser web. La directory principale pypi restituis...
posta 29.06.2016 - 21:39
0
risposte

Inserimento del token di intestazione XSRF in Hydra

Sto cercando di interrompere un modulo di accesso con Hydra. Il sito è costruito con il framework Angular e un token XSRF deve essere inviato attraverso l'intestazione e attraverso la richiesta POST. Ho notato che il token XSRF è già stato in...
posta 01.05.2016 - 02:58
1
risposta

Sicurezza nel trasferimento di dati sensibili su app web

Sto lavorando su un'app che deve trasferire dati sensibili su HTTPS e ho un'idea, ma mi chiedo se sia eccessivo o buono. Uno dei problemi è che ho bisogno della capacità di "condividere dati" tra gli utenti, quindi ho creato l'idea di un grup...
posta 23.06.2016 - 22:00
0
risposte

Agenti utente nelle intestazioni e-mail

Ho ricevuto un'e-mail COX generata su un tablet Surface. L'agente utente era esattamente quello che mi aspettavo che fosse: Mozilla / 5.0 (Windows NT 10.0 ETC. Poi ho ricevuto un'e-mail AOL con l'agente utente: JAS STD. Mi è stato detto che era...
posta 29.03.2016 - 20:49
1
risposta

Qual è il punto in "autenticazione di un'applicazione" con il suo nome di dominio contro un db?

Come autodidatta alla scoperta dello sviluppo professionale, mi imbatto quotidianamente in cose che mi lasciano perplesso. In parole povere: dovrei lavorare su una vecchia applicazione ZF1 (con codice veramente brutto, ternari imbricati, cond...
posta 25.07.2016 - 13:14
0
risposte

da weevely shell a root? OSCP [chiuso]

Sto facendo OSCP e sono stato su questo problema per un po '. Ho bisogno di una guida su questo. Riesco a ottenere una shell opportuna su una macchina da laboratorio tramite SQL injection. Il sistema operativo è CentOS 5.4 L'utente è "a...
posta 15.04.2016 - 13:55
1
risposta

Autenticazione WebApp sicura

So che ci sono molte domande sulle password di hashing sul lato client, ma nessuna di esse, che ho trovato, si rivolge al mio caso d'uso. La mia app sarà crittografata end-to-end e non è un'opzione per inviare la password dell'utente reale al...
posta 24.04.2016 - 21:23
0
risposte

Identificazione della ricognizione nel web

Recentemente ho implementato il modulo mod_security nel mio server Web Apache. So che le regole OWASP CRS includono tag per categorizzare gli attacchi, ma voglio creare categorie di livello superiore, in particolare per identificare la ricognizi...
posta 12.04.2016 - 06:37
0
risposte

Codifica dei payload per GWT versione 7

Sto verificando un sito web creato con Google Web Toolkit. Utilizza la serializzazione versione 7, quindi gli strumenti di GDS Security non funzioneranno (funzionano solo fino alla versione 5). Usando questa tecnica ho ottenuto tutte le classi,...
posta 14.02.2016 - 21:21