Domande con tag 'web-application'

1
risposta

Attacco di phishing bloccato con la pagina jsp loginAction.do? [chiuso]

Sto testando un sito Web di phishing su una replica a fasi di un'applicazione web jsp. Sto facendo il solito attacco che comporta la modifica del post e il campo di azione del codice sorgente per deviare il mio script jsp scritto catturare gli a...
posta 26.09.2012 - 20:00
1
risposta

In-office Flask app sulla porta 80 - è sicuro? [chiuso]

Il titolo dice tutto; Sto solo servendo i dati ai colleghi come cortesia attraverso una serie di app a pagina singola che fondamentalmente ho consolidato sotto Flask, servendo i modelli Jinja. Attualmente, ho Apache in esecuzione, e ho appena ri...
posta 22.07.2013 - 18:19
4
risposte

Hacking di Windows Box tramite Directory Traversal

Sto praticando gli attacchi directory traversal e ho riscontrato una vulnerabilità in un computer Windows XP che esegue un server HTTP vulnerabile soggetto ad attraversamento di directory. Posso indovinare i nomi dei file e leggerli con succe...
posta 26.10.2013 - 22:34
1
risposta

Dove eseguire l'autorizzazione in un'app Web?

La maggior parte delle app web esegue controlli di autorizzazione a livello di controller. Questo è fondamentalmente ok, ma le app complessive tendono ad avere controlli ripetitivi. Ad esempio, potrebbero esserci una decina di azioni del control...
posta 21.10.2013 - 11:47
1
risposta

Attivare un XSS quando il payload appare due volte?

Ho trovato una vulnerabilità XXS, ma non sono in grado di sfruttarla. Il mio input, 66038');}confirm(1);/* , appare due volte. L'idea era di chiudere la funzione foo1() e attivare confirm(1) . Ma foo2 è il problema. Non è possi...
posta 04.12.2018 - 21:19
1
risposta

Come sfuggire all'input dell'utente in un valore di oggetto javascript?

Come sfuggire correttamente l'input controllato dall'utente quando viene inserito come valore nell'oggetto JSON? <script> $(document).ready(function() { new MyObject({ key1: "user_input", key2: ["user_input1", "user_inp...
posta 01.11.2012 - 17:41
0
risposte

Protezione delle API RESTful con chiavi private

Attualmente sto lavorando alla creazione di un servizio di assistenza che verranno utilizzate da altre applicazioni che creeremo (dai server di applicazioni back-end). La mia attuale procedura utilizza un singolo valore di chiave privata per l'a...
posta 12.12.2018 - 20:36
9
risposte

https security - la password deve essere hashed lato server o lato client?

Sto costruendo un'applicazione web che richiede agli utenti di accedere. Tutta la comunicazione passa attraverso https. Sto usando bcrypt to hash password. Sono di fronte a un dilemma - pensavo che fosse più sicuro fare un hash della password...
posta 02.11.2011 - 11:13
1
risposta

Come posso decodificare le richieste SAML / p o WS-Trust basate su ADFS?

Vorrei verificare le attestazioni inviate a un client da un'autenticazione SAML / p o WS-Trust. Di quali chiavi private ho bisogno e in che modo posso decrittografare queste informazioni? Se fa alcuna differenza, sto verificando Microsoft...
posta 21.11.2010 - 17:44
1
risposta

Dove posso esercitare la sicurezza Web o la sicurezza della rete? [duplicare]

Sono in un processo di apprendimento della sicurezza di reti e siti web. Ho già praticato la revisione del codice ma voglio fare esercizio. Esistono risorse online per sporcarsi le mani invece di guardare solo codice e parole per l'appren...
posta 12.08.2011 - 11:08