Preguntas con etiqueta 'http'

preguntas con etiqueta
0
respuestas

el método TRACE devuelve GET

XST es una vulnerabilidad bien conocida y la razón por la que todos siempre alerta: TRACE está permitido, esto es malo. Pero lo que veo a menudo en los clientes es que una solicitud utilizando TRACE devuelve lo mismo que un GET. ¿Estoy haciendo...
hecha 24.10.2018 - 14:37
0
respuestas

diferencia entre res.header (x-auth, JWTtoken) y res.cookies (JWTtoken)?

Lo que he visto en todos los blogs y artículos es que hay dos maneras de manejar JWTtokens , ponerlos dentro de localStorage que están sujetos al ataque XSS o ponerlos dentro de Cookies y establecer httpOnly y...
hecha 23.08.2018 - 15:11
3
respuestas

verificación SSL del nombre de host del servidor https

Recientemente encontré que una biblioteca que estoy usando (específicamente Apache HTTPClient) cuando está configurada para verificar el nombre de host del servidor remoto con el CN del certificado, parece que está haciendo una comparación de ca...
hecha 17.08.2011 - 19:13
0
respuestas

Hydra ignora el uso del encabezado http

Mis respuestas http producen un '0' cuando se detecta un usuario válido y '1' cuando se detecta un usuario no válido. Utilicé los siguientes comandos de hidra: hydra URL http-form-post "/checkUser.php:username=^USER^:S=0" -L user.txt -t 10...
hecha 12.06.2018 - 16:30
0
respuestas

mitm con Docker

Estoy intentando capturar el tráfico entre dos contenedores de Docker ("webserver" y "chrome_client"), usando un contenedor "intermedio" en el modo MITM. Así que tenemos esta topología básica: [cromo_cliente] - > [intermedio] - > [servi...
hecha 19.06.2018 - 19:33
0
respuestas

¿Son estos HTTP_REFERER de una red bot? ¿Son perjudiciales? ¿Cómo debo manejarlos?

Estamos recibiendo una gran cantidad de solicitudes que no puedo explicar. Todas estas solicitudes van a admin.OURWEBSITE.com/api/analyze/ , pero no tenemos un subdominio admin y no tenemos una ruta api/analyze . Nuestro servi...
hecha 16.04.2018 - 08:52
0
respuestas

¿Prevención de la inyección del encabezado de host en ASP.NET?

¿Cómo podemos mitigar la inyección de encabezado de host en ASP.NET? Ya configuré el enlace de la aplicación en IIS y configuré el nombre de host estático, pero aún así, existe la vulnerabilidad.     
hecha 15.03.2018 - 05:56
0
respuestas

¿Por qué permitir HTTPS pero no SSH?

Algunas empresas en las que he trabajado han permitido HTTPS, pero no SSH. ¿Por qué se consideraría a HTTPS seguro , pero no a SSH?     
hecha 11.12.2017 - 14:47
1
respuesta

¿El propósito de la verificación de hash del archivo servido a través de HTTPS?

Soy nuevo en Seguridad de la Información. Puedo encontrar muchos sitios web que solicitan verificar la suma de comprobación de los archivos. Es lógico si el archivo está expuesto a modificación durante la transmisión. HTTPS aborda este problema...
hecha 25.08.2017 - 15:32
0
respuestas

¿Cómo usar snort para rastrear las sesiones http / https por separado?

¿Cómo puedo usar snort para desglosar el tráfico de http / https en sesiones separadas y hacer un seguimiento de cada sesión por separado y también volcarlos en archivos de registro separados o algo de lo que pueda leer?     
hecha 12.07.2017 - 07:21