Domande con tag 'web-application'

2
risposte

Attivare un utente su un sito Web - perché includere qualcosa di diverso da un codice di attivazione?

Molto spesso per attivare il mio account su un sito web ricevo un'email con questo: https://web_site.com/access?uid=1234&secret=456789&login=0123456789&mid=aabbcccdd Perché user id, login, mid o altri parametri di aggiunta? Perc...
posta 27.06.2017 - 04:12
2
risposte

Memorizza in modo sicuro le informazioni di autenticazione di terze parti

Supponiamo che ci sia un'applicazione web multiutente che richiede l'accesso alla casella di posta dell'utente (su servizi di terze parti, come Gmail, ecc.). Questo accesso deve essere persistente. Il che significa che dovremmo memorizzare la pa...
posta 24.12.2010 - 09:26
4
risposte

punto di iniezione sqlmap nei dati POST

Attualmente sto facendo un test blackbox su un'applicazione web per scopi di formazione. È un progetto personale. Oltre alla mia procedura di test manuale, ho utilizzato uno scanner automatico per rilevare vulnerabilità evidenti. Sebbene ques...
posta 02.01.2017 - 13:05
0
risposte

Quanto è sicuro un ID singolo come informazioni sull'account + segreto?

Recentemente mi sono imbattuto in link , che è un provider VPN incentrato sulla privacy. Stanno usando un singolo ID di 12 cifre (usando le cifre 0-9) per accedere al loro sito web come le informazioni sull'account singolo senza password aggiun...
posta 15.05.2017 - 09:49
3
risposte

Valore dell'autenticazione tra servizi

Sto cercando di capire il valore di avere un servizio non pubblico che richiede l'autenticazione da altri servizi che fanno parte dello stesso prodotto. È per quando qualcuno ottiene l'accesso a qualche altro host e poi attacca il servizio?  ...
posta 23.08.2016 - 03:05
0
risposte

LFI a RCE con proc / fd

Sto facendo una sfida davvero difficile e ho trovato un elenco di ifi quanto ho potuto cercare i file di log di apache e i log degli errori di apache e non riesco a vederli, ma posso visualizzare: /proc/self/fd/9 /proc/self/fd/2 /proc/self/fd/...
posta 19.10.2016 - 22:55
0
risposte

Limitazione delle richieste IPv6 - quale sarebbe una dimensione di sottorete adatta?

Sto provando a elaborare una politica di limitazione della richiesta per un'applicazione web basata su indirizzi IP. Per limitare le richieste per gli utenti su IPv4, una dimensione di sottorete di / 32 (vale a dire un singolo indirizzo IP) è...
posta 31.10.2016 - 10:33
0
risposte

Come funzionano i token contraffatti di richiesta cross-site?

Qualcuno può spiegare come funzionano i token CSRF in termini semplici? Perché il token CSRF deve essere memorizzato in un cookie di sessione e in un campo modulo nascosto?     
posta 23.06.2016 - 09:29
3
risposte

Cross scripting sito senza caratteri speciali

Sto testando un'applicazione web e ho trovato una vulnerabilità XSS. Posso rompere un tag e iniettare del codice nell'applicazione, ma nulla di molto pericoloso per il client. L'applicazione ha un filtro che rileva caratteri speciali e alcune...
posta 29.05.2013 - 15:53
2
risposte

Come funziona l'autenticazione esterna?

Ad esempio, posso accedere ai siti Web di stackexchange accedendo a siti Web esterni come OpenID, Yahoo, ecc. Come funziona? Come comunicano i siti web (SE e Yahoo !, ad esempio)? Come fa Yahoo! sai che è davvero stackexchange? In che modo Stack...
posta 17.06.2011 - 17:24