Domande con tag 'web-application'

4
risposte

Non è sufficiente microtime () o mt_rand () per reimpostare la password?

In Qualcuno può fornire riferimenti per implementare correttamente i meccanismi di reimpostazione automatica della password delle applicazioni Web? viene menzionato l'uso di una strong casualità crittografica per generare il token di ripristin...
posta 02.08.2012 - 18:25
2
risposte

Come proteggere dalla nuova tecnica Javascript Injection che non usa eval ()?

C'è una nuova tecnica di iniezione Javascript che sta generando chatter nei forum menzionati qui Ecco il codice di esempio: String.prototype.code = function(){ return (new Function('with(this) { return ' + this + '}' )).call({}); }; var s...
posta 17.05.2011 - 17:10
5
risposte

Qual è il difetto di sicurezza in questo esempio di "parametri magici"?

Sto leggendo Guida ai test OWASP v3 : Example 1: Magic Parameters Imagine a simple web application that accepts a name-value pair of “magic” and then the value. For simplicity, the GET request may be: http://www.host/application?magic...
posta 07.03.2014 - 09:10
3
risposte

Modifica di una variabile $ _SESSION in PHP tramite XSS?

Non sono sicuro che quello che sto dicendo abbia senso ... ma è possibile che io modifichi una variabile $ _SESSION al di fuori dello script PHP di destinazione? Uno dei nostri script usa una variabile $ _SESSION e non sono sicuro che sia vul...
posta 09.02.2011 - 13:31
3
risposte

Si tratta di un attacco web di cui dovrei preoccuparmi: provare a inserire il codice per i moduli vars

Ho creato un semplice script CGI in esecuzione su un server Web in cui un utente può accedere utilizzando un nome utente e una password. Il nome utente e la password sono inseriti tramite un modulo html e il modulo POST i dati al server web....
posta 10.11.2012 - 12:36
2
risposte

Cifratura end to end su HTTPS / TLS

Ho bisogno di creare un'applicazione Web PHP che memorizzi alcuni dati inseriti dall'utente. Questi dati dovrebbero essere leggibili solo da alcuni utenti selettivi del sistema (compreso l'utente che l'ha creato). I dati non devono essere decifr...
posta 10.01.2018 - 11:03
3
risposte

CORS e CSRF Prevenzione per un'API basata su REST

Attualmente sto cercando di capire come prevenire CSRF. La mia prima soluzione era usare un token che è suggerito ovunque. Ovviamente risolverebbe questo problema: <img src="http://api.example.com/me/delete">Maquellochenonriescoacapir...
posta 08.06.2015 - 15:52
2
risposte

Penetrare il test delle applicazioni Web Java

Per prima cosa; questo è qualcosa che non ho mai fatto prima. Ho un'applicazione web scritta in Java (JSP e Servlet) e utilizzo MySQL come database. L'applicazione è distribuita in Amazon EC2, un'istanza Ubuntu configurata da me stessa. Or...
posta 09.10.2015 - 10:01
2
risposte

Che cos'è lo scripting cross-site? [duplicare]

Prima chiedo c'è una definizione assoluta? Ho fatto un po 'di Google e sembra che tutti dica qualcosa di diverso. SO dice una persona An XSS vulnerability exists whenever a string from outside your application can be interpreted...
posta 22.07.2012 - 01:34
4
risposte

Quali attacchi XSS non hanno la sconfitta "Reflective XSS Protection"?

È passato un po 'di tempo da quando ho giocato con le vulnerabilità di cross-site scripting, ma oggi mi sono imbattuto in un sito web che cercava di provare una vulnerabilità XSS di base. Così doverosamente digitato: http://example.com?quer...
posta 16.11.2012 - 14:02