web-application

Вопрос или проблема При вводе имени пользователя и пароля в веб-приложение меня всегда удивляло, почему имя пользователя часто равно личному адресу электронной почты (который часто известен или легко угадать или найти). Случайное имя пользователя для

Вопрос или проблема Как собрать csrf токен на странице входа и проанализировать уязвимости токена csrf с помощью Burp? Ответ или решение Как выявить уязвимости CSRF-токенов на странице авторизации с использованием Burp Suite Community Edition Введение

Вопрос или проблема может кто-нибудь сказать, как собрать csrf токен на странице входа и проанализировать уязвимости токена csrf? Ответ или решение Идентификация уязвимостей CSRF-токенов на странице входа в веб-приложение с использованием Burp Suite Community

Вопрос или проблема Закрыто. Этот вопрос является невысказанным. В данный момент он не принимает ответы. Этот вопрос, похоже, не относится к информационной безопасности в рамках, определённой в центре помощи. Закрыто 1 час назад.

Вопрос или проблема В настоящее время мы реализуем схему шифрования конвертов, чтобы безопасно хранить персонально идентифицируемые данные (PII) в нашей базе данных. Это означает, что у нас будет ключ шифрования данных (DEK), специфичный для пользователя

Вопрос или проблема В последние пару дней я читал всё, что мог, на эту тему, и не могу решить, какой будет лучший подход. Единственными требованиями являются: Мне нужно знать пользователей, которые вошли в систему, и все их сессии, чтобы пользователь

Вопрос или проблема У меня есть “облачный сервис”, который состоит из 2 частей: Веб-приложение, написанное на Next.js; База данных MongoDB (использует MongoDB Atlas). Я позволяю пользователям входить с помощью GitHub и обрабатываю аутентификацию с использованием JWT.

Вопрос или проблема Я читал, что разные базы данных (mysql, sql server и т.д.) имеют различные уязвимости и что они уязвимы к некоторым специфическим SQL-инъекциям. Когда злоумышленник пытается осуществить атакy на базу данных против веб-сайта (например

Вопрос или проблема Я провожу исследование безопасности приложения и спрашиваю себя, на чем оно основано. Кажется, что оно меняется с каждым запросом (то есть не привязано к пользовательской сессии). Это просто случайное значение, которое должно существовать

Вопрос или проблема Предположим, что http://example.com/<foo> систематически перенаправляет на https://example.com/<foo>. Я ввожу http://example.com в адресной строке браузера, и я вижу загрузку страницы, после чего адресная строка теперь

Вопрос или проблема Используя веб-сервер с Nginx + ModSecurity + OWASP ModSecurity Core Rules… В конфигурационном файле OWASP crs-setup.conf важен ли порядок секции конфигурации SecAction или я могу упорядочить их иначе, чем в примере конфигурационного файла?

Вопрос или проблема У меня есть офлайн-приложение, которое запускает сервер на локальном компьютере, пока оно работает. Другие компьютеры в той же локальной сети могут получить доступ к этому серверу через 192.168.x.xxx. Я хочу заблокировать их доступ

Вопрос или проблема Мне любопытен Widevine, и я немного исследовал этот вопрос, и слышал, что он защищен повторяющимся кадром за кадром шифрованием и компаундированием, так что если видео имеет только один кадр (или этот кадр повторяется), разве оно не работает?

Вопрос или проблема У меня есть веб-приложение, которое отправляет этот cookie после входа в систему: Set-Cookie: ASP.NET_SessionId=55adfqwdf6qdqrgsdfg; path=/; HttpOnly; SameSite=Lax Если я теоретически украду идентификатор сессии и использую его в другом

Вопрос или проблема Я читаю книгу “Алиса и Боб изучают безопасность приложений” и наткнулся на это предложение: Чтобы защитить высокочувствительные данные, рекомендуется очищать память, когда ваша программа завершается, выходит из системы

Вопрос или проблема Я тестирую graphql конечную точку, которая использует POST запрос с сохраненными запросами, я попробовал следующий запрос: { “query”:”query{signedUser}” } конечная точка graphql возвращает ошибку, что signedUser

Вопрос или проблема Здравствуйте, сообщество InformationSecurity! У меня следующая ситуация, и я ищу советы по нашей архитектуре безопасности. Я работаю с клиентом, который создает приложение для составления резюме, где пользователи могут вводить свои

Вопрос или проблема Мы хотим предотвратить атаки, приходящие из атрибута src “javascript:”, но по-прежнему разрешить инлайн теги скриптов. В настоящее время единственным вариантом является добавление SHA-хэшей, но инлайн скриптов слишком много, чтобы это сделать.

Вопрос или проблема Я пытаюсь научить своих студентов условиям гонки в интернете, и для этой цели я использую простой банковский пример, в котором мы переводим сумму с счета человека A на счет человека B. Если мы используем Burp и отправим одновременные

Вопрос или проблема У нас есть Java-приложение, которое позволяет пользователям загружать вложения и сохранять их на сервере. У приложения определена политика безопасности контента (CSP), которая выглядит следующим образом: base-uri 'self';