Domande con tag 'web-application'

domande con tag
2
risposte

Come sfrutta Directory Traversal per attraversare da un'unità / condivisione a un'altra?

Sto cercando di capire se è possibile attraversare unità o condivisioni. Se ho un percorso che è concatenato in un'applicazione web, dove il prefisso è un disco, come questo: var path = "D:\" + Request.Params["directory"]; È possibile utili...
posta 29.07.2011 - 00:09
2
risposte

Qual è la differenza esatta tra SAMLp e WS-Trust?

Sembrano simili in superficie, ma non sono sicuro di quanto siano profonde le differenze. Qualcuno può spiegarmi la differenza tra SAMLp e WS-Trust? ADFSv2 mi consente di scegliere tra queste opzioni e non sono sicuro di quale scegliere.    ...
posta 21.11.2010 - 17:55
2
risposte

Considerando che SRP è migliore di SSH e Basic Auth, come può essere implementato in un sito web?

SRP è l'abbreviazione di protocollo Secure Remote Password e offre un modo migliore per l'invio delle password su Internet. Ho letto le informazioni su sulla home page della Stanford University , Pagina Wiki, ha esaminato una demo nel bro...
posta 18.03.2012 - 18:15
5
risposte

Come prevenire l'abuso di paga per mostra / clic?

Abbiamo una webapp. I siti web di terze parti mettono i nostri banner sulle loro pagine (banner è un frammento di HTML). Sono pagati utilizzando i metodi "Pay per click" o "Pay per show". Pertanto, i proprietari di siti web di terze parti sono...
posta 25.09.2012 - 19:28
3
risposte

Come evitare di aprire una finestra di dialogo di accesso utilizzando un'immagine hotlinked dannosa e l'intestazione Auth di base HTTP?

Durante l'utilizzo di Firefox per sfogliare i miei forum, ho notato che un utente malintenzionato ha pubblicato un'immagine (tramite hotlinking, non caricandola sul mio server) con l'estensione .png che è conforme alle regole del forum (per...
posta 06.04.2014 - 02:44
2
risposte

Prevenzione degli attacchi CSRF contro le comunicazioni WebSocket

Ho letto il thread sugli attacchi CSRF in websockets ( Le app Web basate su WebSocket (ad esempio le app" comet ") devono preoccuparsi di CSRF? ) e anche altro materiale riguardante la sicurezza websocket, ma nessuno di loro sembra indirizzare i...
posta 25.12.2014 - 00:02
1
risposta

Ho scoperto una vulnerabilità che può rivelare informazioni personali per più siti web. Come fare?

Non è tanto una vulnerabilità tecnica, quanto piuttosto una pratica sciatta della sicurezza da parte di una società di consulenza sul web design. Usano un CMS che hanno aumentato con un accesso di amministratore. Come succede, gli utenti admin s...
posta 16.10.2014 - 17:04
1
risposta

Questo utilizzo di PHP eval () è sfruttabile?

Durante una revisione del codice, ho trovato qualcosa di simile a questo: function foo() { $a = "a"; $expression = '$_GET["$a"]'; return eval('return ('.$expression.');'); } $a = foo(); echo $a; Non importa le ass...
posta 01.04.2018 - 04:56
1
risposta

come configurare mediawiki con limitazioni di modifica

Sto pianificando di installare un wiki pubblico usando mediawiki, ma non ho mai usato mediawiki per un sito pubblico prima e non ho esperienza con esso, nemmeno come utente. Sto pensando di creare una configurazione wiki molto limitata con la...
posta 08.01.2011 - 22:03
1
risposta

Posso generare un token CSRF a doppio cookie sul client con JavaScript?

Ci sono problemi con la creazione del token CSRF con JavaScript appena prima di inviare il modulo? Esempio: var csrf_token = Math.random(); // Write csrf token to cookie. // Add csrf token to the form being submitted. // Submit form. // Ve...
posta 01.03.2017 - 10:04