Domande con tag 'web-application'

7
risposte

Come si cattura TUTTO il traffico da un'app per Android?

Voglio catturare tutto il traffico da un'app Android per i suoi pen-test. Come faccio? Ecco cosa ho già provato: Ho installato l'app su un emulatore e ho avviato l'emulatore con http-proxy che punta a una porta locale. La porta locale...
posta 10.06.2014 - 16:28
4
risposte

Se un'applicazione web restituisce errori HTTP veri?

Le informazioni sulle eccezioni e sugli errori possono essere utilizzate da un utente malintenzionato per mappare l'API di un'applicazione Web, quindi è di routine consultare gli elenchi di controllo di sicurezza per consigliare di restituire so...
posta 21.11.2011 - 19:58
4
risposte

Qual è il modo giusto di memorizzare le stringhe di connessione al database dal punto di vista della sicurezza?

Quali sono le raccomandazioni, le migliori pratiche e le pratiche per quanto riguarda la gestione delle stringhe di connessione nelle applicazioni Web? Quali cose si dovrebbero mai e poi mai fare?     
posta 12.11.2010 - 05:49
1
risposta

Masking correttamente le carte di credito

Mi chiedo se il seguente mascheramento della carta di credito sarebbe considerato conforme allo standard PCI. ######??????#### # Is plaintext ? is redacted La data di scadenza è disponibile in testo semplice È ragionevolmente fattibil...
posta 19.07.2016 - 16:20
6
risposte

Annunci che appaiono nella nostra applicazione quando non dovrebbero essere

Ho ricevuto uno strano problema segnalato da uno dei miei utenti dell'applicazione web. A quanto pare stanno ricevendo "annunci" all'interno della finestra del browser quando si utilizza la mia applicazione. Non ho aggiunto nessuna pubblicità...
posta 09.05.2014 - 14:10
4
risposte

Perché dovrei usare la whitelist su un WAF?

Stavo studiando WAF diversi, da open-source (come ModSecurity e NAXSI) a soluzioni commerciali (Imperva, Citrix, Fortinet, ecc.). Molte persone affermano che avere un WAF basato su whitelist è molto più efficiente della lista nera. Fondamenta...
posta 21.01.2015 - 14:21
3
risposte

Che tipo di attacco era questo?

Quindi il nostro sito Web è stato violato e queste sono le cose che sono state fatte: Alcune voci nel database sono state modificate. Non so se ciò avvenisse tramite SQL injection, o accesso diretto al database (solo a root è consentito app...
posta 14.05.2013 - 10:53
2
risposte

Come proteggersi contro l'attacco clickjacking ma consentire iframe legittimi?

Sono a conoscenza dei moderni approcci anti-clickjacking, come l'intestazione X-Frame-Options o gli script framekiller. Ma tutte queste tattiche impediscono ai contenuti di essere contenuti in iframe. Ma cosa succede se c'è un requisito per i co...
posta 19.07.2012 - 23:02
2
risposte

Implicazioni dei metodi Trace / Track su Apache

Quando si eseguono scansioni di vulnerabilità utilizzando Nessus, contro un host che esegue Apache, un risultato previsto è sempre "metodi HTTP TRACE / TRACK consentiti". Mentre questo risultato ha solo un CVSS di base di 4.3, consiglio sempre d...
posta 29.09.2011 - 14:54
2
risposte

L'utente dovrebbe poter salvare la password nel browser?

La società di revisione ha rilevato un errore "L'attributo di modulo Completamento automatico è impostato nel campo della password". Hanno suggerito di disabilitare il completamento automatico di questo campo per impedirne la divulgazione "quand...
posta 02.02.2012 - 14:14