Domande con tag 'web-application'

1
risposta

Access-Control-Allow-Origin possibili minacce sul file JS statico

Poiché sto lavorando a una ricerca, ho bisogno di consentire agli utenti di leggere il mio file JavaScript usando Ajax. Tuttavia, voglio essere sicuro delle conseguenze dell'aggiunta dell'intestazione Access-Control-Allow-Origin per questo solo...
posta 18.05.2014 - 12:21
3
risposte

Come sfruttare un XSS memorizzato per eseguire l'inclusione di un file?

Ho identificato un XSS memorizzato e mi chiedo, come potrei sfruttare questa vulnerabilità per caricare una shell.     
posta 18.05.2014 - 19:46
1
risposta

Fuzzdb rilevato come Trojan [chiuso]

Recentemente ho scaricato fuzzdb dal link e il mio antivirus ha continuato a rilevare alcuni file come Trojan. Devo sapere se questi file sono sicuri?     
posta 26.03.2014 - 05:38
1
risposta

Aggiunta del valore hash all'URL fornito dall'utente in un'applicazione Web: qualsiasi vantaggio in termini di sicurezza?

Gestiamo un'applicazione web Java da un fornitore esterno in cui abbiamo accesso al codice sorgente. L'utente è in grado di fornire un URL esterno che viene memorizzato in un database e successivamente incorporato in un sito Web generato dall...
posta 29.09.2014 - 10:12
3
risposte

Cattura la query su MySQL nel server

Voglio acquisire query su MySQL dalla mia applicazione web sul mio server basato su Linux. La porta MySQL è 3306 e la mia applicazione web è sulla porta 8181. Così ho iniziato a usare tcpdump come segue: # tcpdump -x "port 3306" Ora sf...
posta 30.09.2014 - 12:03
1
risposta

POST request in curl restituisce tutto il codice sorgente della pagina

Sto cercando di sfruttare l'applicazione web mutillidae e ho trovato una pagina vulnerabile a SQL injection ma con un controllo blacklist incorporato nel codice HTML. Ho provato a bypassare questo forging una richiesta POST con CURL ma non so pe...
posta 06.09.2014 - 14:58
1
risposta

Gestione delle password nel wicket

Ho un modulo che contiene un campo password. In swing il metodo getPassword () restituisce un array di caratteri. Dopo che la password è stata elaborata dalla mia applicazione Web, l'array può essere cancellato per rimuovere la password dalla...
posta 10.04.2014 - 12:08
1
risposta

Implicazioni sulla sicurezza di mettere il codice sorgente degli host virtuali in / var / www / [dominio]

Un amico ha sottolineato che mettere gli host virtuali come sottocartelle del /var/www predefinito era una cattiva idea. (percorso di esempio di linux, questo vale per tutti i sistemi operativi) Vedo che è possibile raggiungere gli host...
posta 23.02.2014 - 00:47
1
risposta

Come potrebbe essere caricato in modo sicuro un plug-in dei commenti dai domini a cui le persone hanno già effettuato l'accesso?

L'idea fondamentale è caricare un plug-in di commenti del blog (come Disqus) da un dominio a cui qualcuno ha già effettuato l'accesso per risparmiare tempo e aumentare il coinvolgimento degli utenti. Mi piace il plug-in di commenti di Faceboo...
posta 21.02.2014 - 22:40
2
risposte

È possibile modificare un file .js di supporto in un'applicazione Web per iniezione?

Supponiamo che ci sia un'applicazione web che necessita di un file di supporto JavaScript .js da caricare nella testa del documento html. <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/ht...
posta 20.02.2014 - 16:19