Preguntas con etiqueta 'injection'

2
respuestas

Detección de inyección de código en servidores web

Recientemente encontré uno de mis servidores web pirateado con un código malicioso inyectado en sitios web alojados allí. No fue exactamente mi culpa, ya que compartí el servidor con otras personas y alguien puso un script / sitio web inseguro e...
hecha 19.02.2012 - 23:10
1
respuesta

¿La validación de eventos de ASP.NET es completamente segura?

Actualmente estoy probando una aplicación web ASP.NET para su seguridad. Al hacerlo me encontré con el mecanismo de validación de eventos. ¿Hay alguna manera de evitarlo? ¿Cuánta seguridad hay de que no se puede pasar por alto?     
hecha 31.10.2012 - 14:23
2
respuestas

¿Cómo desinfecto la entrada LDAP y prevengo los ataques de inyección? ¿Qué escenarios de inyección de LDAP son posibles?

En el siguiente ejemplo de C #, estoy consultando el contenedor de configuración de AD para anulaciones de Exchange. Si el nombre de dominio no está saneado, el usuario final podría hacer que LDAP lea un objeto diferente del que estaba destinado...
hecha 12.06.2012 - 17:56
1
respuesta

Ejecute el comando bash cuando haya espacios y '' / \? & | se filtran?

Tengo algún código PHP que ejecuta comandos bash y tiene un error que puede hacerlo vulnerable a la ejecución remota de código. El comando ejecutado sería $(id) , pero si ejecuto cualquier otro comando como ls -la , el espacio se...
hecha 09.04.2018 - 03:55
2
respuestas

¿Qué peligros existen al permitir que el usuario ingrese partes de una cadena de conexión ODBC?

Estoy desarrollando una aplicación que permite al usuario ingresar nombres de host, nombres de bases de datos, nombres de usuario y contraseñas para el acceso a la base de datos. La aplicación construirá una cadena de conexión ODBC rellenando lo...
hecha 30.03.2011 - 01:34
1
respuesta

¿Es posible obtener variables de PHP usando XSS a través de la solicitud GET?

Si hay una solicitud de obtención que luego muestra el valor después del procesamiento del lado del servidor a través de PHP, ej. mysite.com?message= , ¿es posible pasar un valor que obtenga variables del formulario PHP que lo procesa?  ...
hecha 19.08.2016 - 03:09
1
respuesta

Como resultado del ataque; Carpetas y archivos aleatorios en public_html. ¿Qué tipo de ataque es este?

Como resultado del ataque, hay carpetas y archivos php aleatorios dentro de ellos en los directorios public_html. Los sitios son Wordpress, Opencart o simplemente HTML. Todos los sitios expuestos al ataque. Captura de pantalla de la situación...
hecha 05.11.2015 - 14:17
2
respuestas

ejecución del comando Java sin Runtime.exec

Estoy tratando de encontrar todas las formas en que uno podría ejecutar comandos en java. El objetivo es hacer una lista de palabras clave para listas negras en herramientas y filtros de análisis de código estático. Hasta ahora solo he encont...
hecha 02.03.2017 - 16:54
1
respuesta

Si desea implementar un escáner XSS, ¿es absolutamente necesario usar un intérprete JS? ¿Por qué?

En una discusión reciente sobre un escáner de vulnerabilidades de seguridad que devuelve falsos positivos para la detección XSS, noté que el escáner simplemente inyecta una cadena como "this_is_my_string_" (sin las comillas dobles) y si ve la ca...
hecha 22.06.2013 - 10:20
2
respuestas

¿Protegiendo la inyección de código a través de chattr en archivos php?

Recientemente, un sitio web que alojé (un sitio de wordpress) para un amigo fue hackeado y todas las páginas de php habían agregado código en la parte inferior en forma de echo base64_encode(...); . Por lo tanto, hubo anuncios no deseados...
hecha 13.01.2015 - 12:19