Scusa la domanda ingenua (sono più un dev di una persona del web-sec)
In passato ho avuto un hackeraggio dei server Web e di solito li ho rintracciati su alcune macchine casuali che sembrano essere state compromesse (presumo che parte di una...
Dato che un utente malintenzionato si connette a un server Web sulla porta 80 e genera i seguenti comandi, cosa sta cercando di ottenere?
/c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
Ho già letto che questo è correlato ad una vecchia vulnerabi...
Stiamo utilizzando questo script PowerShell come script di avvio di Azure Cloud Service (PaaS) e siamo a un A- sul test Labs Qualys SSL
In particolare, stiamo perdendo punti per i seguenti motivi:
Forward Secrecy : With some browsers (m...
Uno dei nostri server Web gestito da un fornitore di servizi (completamente sotto il loro controllo, non abbiamo accesso all'accesso) ha appena fallito il PCI-DSS vuln. scansione da TrustKeeper. La scansione vuln ha rilevato la casella come sist...
Il sabotare un account di hosting web condiviso minaccia la sicurezza degli account di pari livello essendo condivisi sullo stesso server?
Sia che si tratti di configurazioni htaccess, di posting di credenziali di accesso e specifiche di conf...
Indipendentemente dal formato di crittografia, qual è il modo migliore per archiviare una chiave di crittografia su un server AWS EC2?
Sto memorizzando informazioni crittografate in un database MySQL e la mia chiave di crittografia è memorizz...
Intendo utilizzare l'utente con privilegi minimi per eseguire una determinata attività. Il problema è che coinvolge una sorta di catena di responsabilità e si traduce come una catena sudo nei miei script, diffondendo l'attività generale in...
Stiamo discutendo con il nostro reparto operativo sui certificati SSL wildcard.
Il nostro scopo è quello di vietare tutti i certificati con caratteri jolly (come * .domain.com) per l'applicazione Web esposta su Internet a causa dei potenziali ri...
Ho un'API REST in esecuzione in un contenitore Tomcat con un endpoint che accetta un indirizzo email del cliente come parametro di query. È qualcosa del genere:
/[email protected]
Gli indirizzi email dei clienti sono una risorsa c...
Un browser con supporto TLS 1.0 non sarà in grado di stabilire una sessione HTTPS con un server con solo supporto TLS 1.1 e TLS 1.2.
Questo in genere genera un errore criptico (per un utente normale) in merito a una mancata corrispondenza del...