Preguntas con etiqueta 'http'

3
respuestas

¿Este encabezado HTTP_HOST no válido forma parte de un exploit?

Recibimos una gran cantidad de mensajes de error de nuestra aplicación django, como este: Invalid HTTP_HOST header: ‘target(any -froot@localhost -be ${run{${substr{0}{1}{$spool_directory}}usr${substr{0}{1}{$spool_directory}}bin${substr{0}{1}{$...
hecha 02.06.2017 - 12:06
4
respuestas

Entendiendo las solicitudes de ataque HTTP GET

He capturado algunos ataques web. Estoy tratando de entender qué propósito logra cada solicitud de ataque. GET /site/public/timing?<!+XSS="><img+src=xx:x+onerror=alert(14721850.00337)//"> HTTP/1.1" 200 6718 GET /site/public/timing...
hecha 29.08.2016 - 09:36
3
respuestas

¿Cuáles son las desventajas de implementar la autenticación HTTP en una aplicación web? [duplicar]

Sé que hay diferentes tipos de mecanismos de autenticación disponibles. Uno de ellos es la autenticación HTTP. ¿Cuál es el peligro de usar este método en comparación con otros métodos?     
hecha 15.09.2014 - 14:57
7
respuestas

¿Es posible modificar el encabezado http de su agente de usuario para uso malicioso?

El robot de rastreo de Google usa el agente de usuario "Googlebot", y me pregunto si este conocimiento se puede usar de manera malintencionada. Digamos que en un sitio web aleatorio, el agente de usuario de Googlebot puede acceder a un panel...
hecha 23.02.2016 - 03:12
1
respuesta

Mi comprensión de cómo funciona HTTPS (por ejemplo, gmail)

Quiero preguntar si mi comprensión a continuación es correcta o no con respecto al HTTPS utilizado para la página web que estamos visitando. Usaré Gmail como ejemplo: Mi computadora portátil intenta conectarse al servidor de Gmail y envía...
hecha 12.04.2012 - 04:13
4
respuestas

¿Es posible pasar el protocolo de enlace TCP con una dirección IP falsificada?

Hace poco tiempo, mis amigos y yo discutimos si TCP Handshake se puede pasar con una dirección IP falsificada. Supongamos que tengo un servidor web que permite solo ciertos números de IP. ¿Alguien puede conectar ese servidor web por IP spoof?...
hecha 14.06.2013 - 10:20
2
respuestas

Protección CSRF y aplicaciones de una sola página

Estoy en el proceso de escribir una aplicación web de cliente grueso con Angular.js (aplicación de una sola página) y me preguntaba cuáles son las mejores prácticas para asegurar la aplicación con un token CSRF. ¿Debo enviar un token CSRF cua...
hecha 25.05.2013 - 18:31
3
respuestas

¿Puedo evitar un ataque de repetición de mis JWT firmados?

He implementado una autenticación sin estado a través de HTTP en Laravel, usando JWTs. Envié mi nombre de usuario / contraseña desde la interfaz. El servidor autentica al usuario, devuelve un JWT firmado con un tiempo de caducidad. Estoy...
hecha 02.08.2014 - 18:13
8
respuestas

¿Atacando una impresora de oficina?

Hice un escaneo de nmap en una impresora de oficina avanzada que tiene un nombre de dominio y se puede acceder desde fuera de la red corporativa. Sorprendentemente, encontré muchos puertos abiertos como http: 80, https: 443 y svrloc: 427 y algun...
hecha 06.11.2012 - 17:27
2
respuestas

Riesgos específicos de incrustar un iframe HTTPS en una página HTTP

Necesito ayuda para enumerar los riesgos específicos de incrustar un iframe HTTPS que permita el pago con tarjeta de crédito dentro de una página HTTP. ¿Hay problemas de seguridad? ¿Con incrustar un iframe HTTPS en una página HTTP? proporciona...
hecha 02.07.2013 - 20:34