Domande con tag 'web-application'

3
risposte

Hai dimenticato la password? - invia email con password in chiaro

Una società di formazione "rispettabile" che la mia università utilizza per la sua Fisica Naturalmente, i materiali online hanno inviato la mia password in chiaro in un'email dopo aver utilizzato lo strumento Forgot Password? . So che que...
posta 14.10.2013 - 02:20
1
risposta

Vulnerabilità di Crossdomain.xml

<cross-domain-policy> <allow-access-from domain="*" secure="false"/> <site-control permitted-cross-domain-policies="master-only"/> </cross-domain-policy> Vorrei porre due domande: È vulnerabile questo file crossd...
posta 19.08.2015 - 22:43
3
risposte

Quali sono le conseguenze penali per una scansione passiva o attiva su una WebApp senza danni? [chiuso]

Diciamo che mi fido solo delle applicazioni web che mi sono messo alla prova con alcuni test di penetrazione. Quali conseguenze penali esistono per eseguire una scansione passiva (ad esempio la creazione di una mappa di un sito Web) o una sca...
posta 29.05.2017 - 11:45
2
risposte

filtraggio del contenuto nell'intestazione disposizione Content

Stavo leggendo "The Tangled Web" (Un libro che mi sta piacendo moltissimo) e ho un dubbio nel seguente estratto tratto da: - When Handling User-Controlled Filenames in Content-Disposition Headers  If you do not need non-Latin characters: Stri...
posta 29.10.2012 - 16:36
2
risposte

Will "Authorization: Bearer" nell'intestazione della richiesta corregge gli attacchi CSRF? [duplicare]

Ho letto sul fissaggio degli attacchi CSRF. Da alcune ricerche capisco che controllare un'intestazione non standard impedirebbe gli attacchi CSRF poiché il browser non invierà automaticamente tali intestazioni. Quindi ho pensato di raccom...
posta 01.11.2017 - 14:30
3
risposte

Android Pen Testing

Sono stato a capo di un'app per Android casuale che utilizza il metodo POST per inviare dati a un server remoto utilizzando HTTPS. Ho impostato un proxy e sono in grado di intercettare il traffico, tuttavia il metodo POST sembra essere critto...
posta 27.01.2012 - 13:38
1
risposta

Gravatar - È un rischio per la sicurezza per i forum medici?

Se i forum del sito utilizzano Gravatar e gli utenti pubblicano prevalentemente informazioni personali su problemi di salute mentale, si tratta di un rischio per la sicurezza? Il sito dovrebbe prendere in considerazione la disattivazione o conse...
posta 22.07.2017 - 22:00
2
risposte

È possibile CSRF in un SSR SPA con autenticazione cookie?

Ho un'applicazione Single-Page, che è fondamentalmente un consumatore per la mia API che autentica utilizzando l'intestazione Authorization . Ora perché eseguo il rendering lato server, devo autenticarmi su la richiesta iniziale, che signi...
posta 09.01.2018 - 23:11
4
risposte

Perché ci sono così tanti server web che vengono sfruttati generando file offuscati?

TL & DR Come fanno quei file offuscati che molti utenti si lamentano di su questo sito SE su come ottenere sui loro sistemi? E dopo, ancora più interessante come vengono eseguiti? Questo è causato dal modo in cui funziona php? Oppure...
posta 02.03.2016 - 16:59
4
risposte

Xssing senza aprire un nuovo tag html

Esempio: test.php?p=test fornisce output: <p style="...">test</p> Posso iniettare qualcosa di diverso da "<", quando iniettato sono stato reindirizzato. Quindi può essere sfruttato?     
posta 28.10.2015 - 20:44