A veces es posible usar una codificación alternativa para sortear los controles de seguridad ( CAPEC-267 ). Si bien la especificación JSON puede ser estricta con respecto a lo que es válido, los analizadores populares no necesariamente se ajusta...
Tengo un parámetro
args=[490114,{"user_login":"[email protected]","":"","perm":"view","partners":[],"event_labels":[]}]
en la solicitud HTTP pero en el formato codificado.
Quiero forzar el uso de este correo electrónico mediante burpsuit...
Hola, estoy tratando de hacer una inyección SQL en un formulario de inicio de sesión.
Con BurpSuite intercepto la solicitud:
POST /xxxx/web/Login HTTP/1.1
Host: 10.0.0.70:42020
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49...
Tengo un conjunto de API REST y algunas de ellas no requieren que los usuarios estén autenticados.
El ejemplo podría ser: api/items/index de un comercio electrónico ".
Actualmente, utilizo tokens basados en cookies de mi aplicación, p...
En una API REST, me gustaría recibir imágenes como cadenas codificadas base64 en un objeto JSON desde la publicación del usuario y guardarlas en el disco usando el módulo node.js fs .
El cuerpo de la solicitud son objetos como:...
Implementé un servidor REST para habilitar Autenticación JWT con soporte para TLS (con un certificado autofirmado).
Cuando envío las credenciales a mi servidor REST con un complemento de firefox (RESTClient) y veo los encabezados HTTP con o...
Tengo una matriz JSON:
JsonArray people;
Que contiene objetos JSON que representan personas.
Actualmente los estoy guardando como texto sin formato en un archivo json .
try {
OutputStream out = new FileOutputStream('storage.j...
Tengo una aplicación web vulnerable a las inyecciones de SQL. Estoy usando BurpSuite para interceptar las solicitudes. Más específicamente, la siguiente variable de datos es vulnerable. Agregué mis propios datos a los agregados y filtros:
data...
¿Cuál es la mejor protección contra la vulnerabilidad de Privilege Escalation en una aplicación web? Básicamente, puedo cambiar la respuesta HTTP en formato JSON de ID DE USUARIO a ID ADMIN para obtener acceso al sistema de cuenta de administrad...
Entiendo que enviar contraseñas en forma clara sobre GET no se considera seguro porque la cadena de consulta puede ser registrada por múltiples escuchas.
Sin embargo, si REALMENTE necesito usar JSONP para enviar un nombre de usuario y contras...