Domande con tag 'web-application'

1
risposta

La presenza del token XSRF e del cookie di sessione per richiesta riduce il rischio di sicurezza delle credenziali di accesso brute-forcing? [duplicare]

Non ho successo con il modulo HTTPS (nome utente e password) di Forza bruta che ha un token XSRF e un cookie di sessione per richiesta, usando Hydra. Voglio sapere se la presenza del token XSRF e del cookie di sessione per richiesta attenua...
posta 14.07.2018 - 08:04
1
risposta

Modifica delle richieste usando Burpsuite considerata una vulnerabilità di sicurezza valida?

Vorrei sapere se intercettare e modificare le richieste usando Burpsuite prima di raggiungere il server è considerato come vulnerabilità. Nelle nostre applicazioni web e mobili, sono in atto misure di sicurezza adeguate per evitare attacchi d...
posta 23.07.2018 - 08:55
1
risposta

Prevenzione di CSRF / XSS su API condivise mobile / web

Ho ereditato un code-base che include un dispositivo mobile e amp; app web che accedono entrambe alla stessa API e sono state incaricate di correggere alcuni dei buchi di sicurezza esistenti, sfortunatamente non sono esperto nell'argomento. Ora...
posta 04.04.2018 - 20:08
1
risposta

È sicuro utilizzare un account AD per eseguire un pool di app in IIS al fine di fornire autorizzazioni di lettura / scrittura SQL a un'app Web?

Ho lavorato a un'applicazione web Intranet che fornisce accesso in lettura / scrittura, basato su ruoli a un database. Mi è stato chiesto di configurare l'applicazione IIS per utilizzare un account AD per il pool di applicazioni, al fine di f...
posta 20.03.2018 - 15:11
1
risposta

Quale libreria / librerie di crittografia lato client dovrei usare per rendere più semplice la sincronizzazione?

Voglio creare una webapp e un'app mobile sorella (usando react native) che usi la crittografia lato client. La crittografia sarebbe per le voci di testo scritte su base giornaliera che l'utente poteva creare e modificare. Se l'utente si disconne...
posta 21.05.2018 - 05:28
1
risposta

In quanti posti TLS dovrebbe essere crittografato / non crittografato per il traffico web?

Correlata, ma non la stessa domanda di Se SSL deve essere terminato su un servizio di bilanciamento del carico? . Il nostro stack Web assomiglia a: Server Web - IIS Load Balancer - NetScalar Firewall - Palo Alto CDN / WAF - Akamai...
posta 24.04.2018 - 21:44
1
risposta

Come posso enumerare tutti gli endpoint di un'API?

Diciamo che ho un'API API.example.com e voglio testare tutti gli endpoint. Non ho accesso alla documentazione, come posso enumerare tutti gli endpoint?     
posta 26.04.2018 - 10:06
1
risposta

Backdoor PHP sul server live [duplicato]

Improvvisamente uno dei nostri siti web Wordpress ha iniziato a inviare e-mail di spam ed è stato inserito nella lista nera su MXToolBox. Quindi con il supporto del server ho scansionato i file e trovato uno strano file chiamato timer.php...
posta 02.01.2018 - 06:43
3
risposte

Come rilevare Selenium / webdriver navigando sul mio sito [chiuso]

Ho un sito Web e noto un sacco di traffico di robot, suppongo che cerco di estrarre i dati dal sito. Sono riuscito a rilevare alcuni traffici con script o limiti di velocità IP, ma vedo che non riesco a rilevare l'accesso che utilizza Selenium /...
posta 10.10.2017 - 07:55
1
risposta

Download di un file sul mio sito web, con e senza un segreto. Una stanza di miglioramento? [duplicare]

Sto provando a creare un semplice sistema di download come parte del mio sito web. C'è qualcosa di insicuro in questo percorso: GET https://my_website.com/downloads?file_id=AAA&user_id=BBB&secret=CCC Dove user_id e codice sono op...
posta 18.10.2017 - 05:37