Domande con tag 'web-application'

3
risposte

Javascript contenente una lunga stringa esadecimale ed eval: questo è sospetto?

Nella parte inferiore del file index.php per un semplice modulo "contattaci", ho trovato quanto segue (alcuni spazi bianchi e nuove righe aggiunte): try {if(window.document)--document.getElementById('12')} catch(qq) {if(qq!=null)ss=eval("...
posta 10.08.2013 - 12:33
7
risposte

Gli abbreviazioni URL sono "vulnerabili" a causa di reindirizzamenti aperti?

L'OWASP afferma che il reindirizzamento aperto è una vulnerabilità : An open redirect is an application that takes a parameter and redirects a user to the parameter value without any validation. This vulnerability is used in phishing a...
posta 06.06.2014 - 18:11
4
risposte

Open exploit database, con dati strutturati (nome CMS, versione, ecc.)

Per un'app di sicurezza web su cui sto lavorando, voglio elencare tutti gli exploit di una determinata versione di Wordpress. (e si spera lo stesso per altri CMS) Ho trovato alcuni database di exploit (aperti) che elencano questo tipo di expl...
posta 10.06.2013 - 15:11
4
risposte

È mai sicuro saltare le convalide sul lato server?

Sto lavorando su un'app Web con un modulo di iscrizione come di seguito. Le convalide vengono tutte eseguite lato client utilizzando link . Sono ben consapevole che le convalide sul lato client possono essere ignorate, ma al momento non mi s...
posta 26.01.2014 - 20:33
5
risposte

referrer che controlla come difesa per l'attacco XSS

Dopo aver letto la domanda sul referrer e risposta di @DW, non ho capito la seguente parte: XSS defense. Strict referer checking can make reflective XSS attacks harder, because other sites can't trick the victim's browser into visit...
posta 22.11.2012 - 18:09
5
risposte

È sicuro spedire la chiave pubblica con il file di licenza?

Ho implementato un client e un server di licenze per le nostre applicazioni web. Attualmente esiste un solo modo per concedere in licenza un'app, l'utente dovrebbe caricare manualmente il file di licenza utilizzando il modulo e il menu specifica...
posta 27.01.2016 - 15:01
2
risposte

Codifica il file web.config utilizzando l'API di Data Protection

Ho crittografato parte del mio file web.config utilizzando l'API di Data Protection. Ora, la mia domanda è: che cosa ha bisogno un hacker per decodificare il file web.config? Richiede l'accesso fisico alla macchina per decodificarlo? Oppur...
posta 22.07.2013 - 11:53
3
risposte

Pentesting applicazione Web: quando si enumerano directory e file del sito Web, come stabilire se HTTP 200 è una pagina valida o una pagina di errore?

Supponiamo che un'app Web sia sottoposta a test in cui tutte le funzionalità si trovano dietro un accesso. Uno dei test da eseguire è verificare se una qualsiasi delle pagine è disponibile senza il log-in. Proviamo l'url effettivo della pa...
posta 04.12.2017 - 20:28
2
risposte

Perché OWASP ASVS richiede che le risposte HTTP abbiano un'intestazione di contenuto che specifica un set di caratteri?

Lo standard di verifica della sicurezza delle applicazioni OWASP ( ASVS ), versione 3, afferma nella clausola V11.2: Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8, ISO 8859-1)....
posta 04.05.2016 - 21:38
3
risposte

L'app Gmail su Web Gmail è più sicura?

L'utilizzo di Web Gmail tramite l'app Gmail è più sicuro, ad esempio, vedi le seguenti opzioni: Android Google Chrome o Android Windows Google Chrome o Windows Universal App MacOS Safari o applicazione App Store MacOS Applicazione iOS...
posta 03.10.2016 - 00:55