Preguntas con etiqueta 'web-application'

preguntas con etiqueta
0
respuestas

Para una aplicación web que emplea cifrado de capa de aplicación, ¿existe alguna forma de modificar los parámetros de publicación que se capturan encriptados en burp?

Hay controles de javascript del lado del cliente que restringen los caracteres maliciosos. Todos los datos del formulario se transmiten a través de solicitudes POST. En eructo, puedo ver que todos los parámetros se cifran en un solo parámetro...
hecha 29.11.2016 - 10:07
0
respuestas

LFI a RCE cuando el archivo de registro no se puede leer

Durante una prueba de penetración, encontré un punto final que me permite incluir archivos locales y puedo leer /etc/passwd . Sin embargo, no tengo permisos para leer proc/self/environ y /etc/shadow . El punto final parece:...
hecha 15.05.2016 - 22:04
0
respuestas

Descifrado con autenticación bidireccional

Tenemos un cliente que desea que sus datos confidenciales de usuario se almacenen con un cifrado. Estos son los requisitos básicos: Los datos confidenciales del usuario se almacenan en una base de datos mediante el cifrado Un atacante r...
hecha 26.05.2016 - 13:32
1
respuesta

¿Debería ser posible acceder a los subdirectorios pypi desde el navegador web?

Soy un investigador de seguridad y cuando estaba tomando las huellas digitales de una aplicación web, descubrí que todos los subdirectorios de domain.com/pypi eran accesibles desde el navegador web. El directorio principal pypi dev...
hecha 29.06.2016 - 19:39
0
respuestas

Insertando el token del encabezado XSRF en Hydra

Estoy intentando romper un formulario de inicio de sesión con Hydra. El sitio está construido con el marco angular, y un token XSRF debe enviarse a través del encabezado y a través de la solicitud POST. Observo que Hydra ya está enviando el t...
hecha 01.05.2016 - 00:58
1
respuesta

Seguridad en la transferencia de datos confidenciales a través de aplicaciones web

Estoy trabajando en una aplicación que tiene que transferir datos confidenciales a través de HTTPS y tengo una idea, pero me pregunto si es excesiva o buena. Uno de los problemas es que necesito la capacidad de "compartir datos" entre usuario...
hecha 23.06.2016 - 20:00
0
respuestas

Agentes de usuario en encabezados de correo electrónico

Recibí un correo electrónico COX generado en una tableta Surface. El agente de usuario fue exactamente lo que esperaba: Mozilla / 5.0 (Windows NT 10.0 ETC. Luego recibí un correo electrónico de AOL con el agente de usuario: JAS STD. Me informaro...
hecha 29.03.2016 - 18:49
1
respuesta

¿Cuál es el punto en "autenticar una aplicación" con su nombre de dominio en una base de datos?

Como un desarrollo profesional autodidacta que descubre, me encuentro con cosas que me desconciertan. En pocas palabras: se supone que debo trabajar en una aplicación ZF1 antigua (con código realmente feo, ternarios imbricados, condición dent...
hecha 25.07.2016 - 11:14
0
respuestas

de la shell weevely a la raíz? OSCP [cerrado]

Estoy haciendo OSCP, y he estado en este problema por un tiempo. Necesito una guía sobre esto. Me las arreglo para obtener un shell pequeño en una máquina de laboratorio mediante inyección SQL. El sistema operativo es CentOS 5.4 El usua...
hecha 15.04.2016 - 11:55
1
respuesta

autenticación de aplicación web segura

Sé que hay muchas preguntas sobre las contraseñas de hash en el lado del cliente, pero ninguna de ellas, que encontré, aborda mi caso de uso. Mi aplicación se cifrará de extremo a extremo y no es una opción para enviar la contraseña de usuari...
hecha 24.04.2016 - 19:23