Domande con tag 'web-application'

1
risposta

Implicazione della sicurezza di divulgare compositer.lock?

Quali sono le implicazioni per la sicurezza nel divulgare il file composer.lock per un'applicazione web remota, nota al pubblico?     
posta 05.12.2018 - 14:22
1
risposta

Il seguente codice javascript è vulnerabile a DOM XSS? [duplicare]

Ho il seguente codice javaScript in un'applicazione, che BURP contrassegna come potenzialmente vulnerabile. Tuttavia, non ho avuto fortuna nel tentativo di farlo eseguire. var hash = window.location.hash; if(hash){ $('a[...
posta 07.12.2018 - 02:15
1
risposta

Utilizzo arbitrario dello sfruttamento dei file dell'applicazione Tomcat

Nel recente pen-test black-box di una webapp ospitata su CentOS, ho trovato una vulnerabilità che mi permetteva di prendere il contenuto di file (tipo di inclusione di file) che si trova all'interno del percorso home di Tomcat . Nello scena...
posta 20.11.2018 - 00:29
1
risposta

SEToolkit Non clonare la Pagina di accesso

Sto cercando di clonare una pagina di accesso con SEToolkit nell'ultima versione di Kali Linux. SEToolkit semplicemente non funziona. Ho provato a farlo funzionare con i normali privilegi utente e sudo. Ho inserito tutte le seguenti opzioni...
posta 11.11.2018 - 03:52
0
risposte

Applicazione web Pentesting con funzionalità di video chat WebRTC

Sto eseguendo un pentagramma su un'applicazione web che utilizza WebRTC peer-to-peer per le chat video. Non ho ancora trovato questo, quindi sono un po 'perso su come affrontare questo. Come posso verificare che la comunicazione WebRTC sia cr...
posta 31.10.2018 - 14:55
2
risposte

Il servizio di previsione di chrome per un caricamento delle pagine più veloce è vulnerabile agli attacchi? è sicuro lasciarlo acceso?

Chrome offre un " servizio di previsione " per velocizzare caricamento della pagina. Potrebbe caricare alcuni collegamenti su una pagina prima ancora di fare clic su di essi: Use a prediction service to load pages more quickly: Browsers use...
posta 01.11.2018 - 17:54
2
risposte

JWT o cookie di sessione per l'API per l'app Web e mobile?

Ho letto tutto quello che potevo su questo argomento negli ultimi due giorni e non riesco a decidere quale sarebbe l'approccio migliore. Gli unici due requisiti sono: Ho bisogno di conoscere gli utenti che hanno effettuato l'accesso e og...
posta 10.10.2018 - 16:29
0
risposte

Ripercussioni tecniche di SSN che toccano brevemente un server

Ho bisogno di passare in sicurezza un SSN a Stripe da una pagina web. (Stiamo facendo le tasse per i nostri appaltatori) Sono ben consapevole che la memorizzazione di un SSN non è una buona idea. Non abbiamo bisogno di Stripe è in grado di ge...
posta 24.09.2018 - 22:17
0
risposte

Come può un token JWT avere più segreti?

Sto utilizzando l'utilità jwtcrack per tentare e decifrare un token JWT emesso. Penso che il seguente output dovrebbe spiegare cosa sta succedendo abbastanza bene: [0] % ./jwtcrack [token] Secret is "P" joseph@MBA ‹ master ● › : ~/c-jwt-...
posta 08.09.2018 - 09:42
0
risposte

I segreti API utilizzati per l'autenticazione semplice devono essere sottoposti a hashing nel database?

C'era una domanda simile che ho trovato che è stata posta nella migliore metà di un decennio fa " Va bene se il segreto dell'API è archiviato in testo normale o decifrato? ", ma la maggior parte delle risposte sembrano girare attorno agli schemi...
posta 21.10.2018 - 23:16