نوشته‌شده در

برنامه ی وب – سرور به درستی کاراکترهای یونیکد را اداره می کند؟

بنابراین من یک برنامه وب را به صورت دستی قلم می زنم. پس از ارسال برخی از داده ها، آن را در درخواست POST ارسال می کند که حاوی داده ها در یک شی JSON است. بنابراین در حالی که fuzzing آن را انجام دادم، برای کنترل نادرست رمزگذاری تست کردم. مطمئنا هنگام ارسال یک کاراکتر Unicode در قالب u2030 یک پاسخ از سرور دریافت می کنید که از داده های دروغین شکایت می کند.

با این حال، هنگامی که به من می گوید که من آن را به جای شخصیت فرستادم در مورد که چیزی است u2030 این شی JSON با سه کاراکتر جداگانه برای شخصیت یونیکد وارد شده است: 

 {"success": false، "errorcode" : 1،
"errormessage": "بخش" init "یا عمل" ȃ0 "نامعتبر است"}

ȃ0 'نامعتبر است بخشی که بخشی از علاقه است. من کنجکاو هستم که آیا این ممکن است یک خطر بالقوه امنیتی را در قالب یک سرریز بافر نشان دهد، زیرا یکی از 3 بایت که شامل یک کاراکتر Unicode است، می تواند به عنوان یک بایت صفر تفسیر شود و پس از آن داده های بیشتری پس از آن بازنویسی شود حافظه.

هر گونه اطلاعات، مشاوره و غیره عالی خواهد بود. ممنون

EDIT: فقط برای من اتفاق افتاد که Burp، که من برای گرفتن پاسخ استفاده می کنم، ممکن است نادرست از کاراکتر Unicode در زمانی که سرور با آن پاسخ می دهد نمایش دهد. آیا این یک اشکال شناخته شده است؟

نوشته‌شده در

چگونه یک مشتری (مانند SSLLabs) می داند که تمام سرورهای پشتیبانی از سرور های پشتیبانی کننده را می شناسد، اگر سرور لیستی از سوئیت های پشتیبانی شده را ارسال نمی کند؟

من به دنبال TLS نگاه کردم و متوجه شدم که مشتری لیستی از سوئیت های پشتیبانی شده را ارسال می کند و سرور یک مجموعه رمز را انتخاب می کند. سرور هرگز لیستی از سوئیت های پشتیبانی شده را ارسال نمی کند. چگونه یک مشتری مانند SSLLabs می داند که کد های سری که سرور پشتیبانی می کند؟ همچنین، متوجه شدم SSLLabs فقط یک درخواست را به سرور ارسال می کند.

نوشته‌شده در

RAT یا EXE ماژول که می تواند سند را به سرور وب ارسال کند؟

من یک infosec newbie مرد و جدید به برنامه نویسی. من برنامه های خودم را برای انجام وظایف مختلف انجام می دهم فقط برای یادگیری ¥. به تازگی در یک سناریو اتفاق افتاده است که به طور معمول RAT دسترسی کامل به دستگاه شما را فراهم می کند، اما در اینجا من دنبال EXE هستم پس از اجرای آن شروع به ارسال .doc.pdf.docx.xls و غیره به سرور وب خاص یا ایمیل ذکر شده از طریق smtp [19659002] آیا این امکان وجود دارد؟ من از دیگر موش های صحرایی مانند darkcommet، njrat و غیره استفاده کرده ام، اما من اکنون به دنبال چیزی متفاوت هستم.

آیا ما یک پروژه منبع باز داریم مثل این؟ یا هر کسی می تواند با این کمک کند؟

نوشته‌شده در

چرا سرور مشتری نمی تواند مستقیما به یک ارائه کننده هویت مانند فیس بوک در oauth 2.0 صحبت کند

OAuth 2.0 برای احراز هویت توسط Google مورد استفاده قرار می گیرد، زیرا سرور و سرویس گیرنده هر دو به گوگل اعتماد دارند، اما نه یکدیگر. همانطور که می دانم، کد مجوز به عنوان یک پارامتر URL به سرور (در سمت سمت سرور) منتقل می شود. برای جلوگیری از مسائل امنیتی مانند معاون اشتباه، کد مجوز یک بار استفاده است و سرور می تواند از کد مجوز برای به دست آوردن یک نشانه دسترسی و نوشتن نشانه استفاده کند. سوال من این است که چرا این فرایند ساده نیست اگر گوگل (یک موجود اعتماد) مستقیما رکوردهای دسترسی به سرور (و نه از طریق مشتری) را ارسال کند؟ این نیاز به یک کد مجوز را از بین می برد. گوگل می تواند مطمئن باشد که این رمز عبور را به مکان مناسب ارسال می کند زیرا مشتری قبلا redirect_uri را با Google ثبت کرده است. به نظر می رسد یک الگوی کلی است که این پروتکل ها ارائه دهنده هویت تنها از طریق مشتری به سرور می فرستد.

نوشته‌شده در

چه باید ما را انتخاب کنید؟ مجازی میزبانی و یا سرور اختصاصی

بیشترین گام مهم در شما ایجاد وب سایت است. برای مبتدی انتخاب وب سایت میزبانی وب تصمیم گیری دشوار را ممکن است. به سردرگمی در ذهن خود را حل کند، آنها فقط نیاز به مرتب کردن حقایق در مورد این دو نوع مختلف از میزبانی.

برای میزبانی مجازی، نرخ های ارزان تر است اما خود سرویس مشترک است. از آنجا که آنها چند وب سایت در یک سرور میزبان آنها ممکن است کندتر پاسخ با سرور خود را. این همچنین بدان معنی است که شما آدرس آی پی مشترک هستند. بنابراین، وب سایت شما گاهی با دیگر وب سایت بی ربط است که محتوای بزرگسالان و قمار یا مثلا مربوط به پیوند دهید. این با اطراف محله آدرس IP است. پس آن چیزی که بسیار خوب به شما بازدید کنندگان با صفحات وب دیگر ظاهر از هیچ اتفاق نیست.

همانطور که برای میزبانی اختصاصی شما به سرور خود را داشته باشد. بنابراین، زمان پاسخ بهتر خواهد شد و شما باید مسائل پهنای باند را به نگران. با این حال، به لذت بردن از این نوع از خدمات، شما مجبور به پرداخت بیشتر. چون تمام یخ استفاده می شود برای شما وب سایت تنها شما ناخواسته پاپ را ندارد.

اگر وب سایت شما مقدار زیادی از ترافیک، انتظار به عنوان یک نتیجه گیری مجازی میزبانی وب شما را کافی خواهد بود. از سوی دیگر اختصاصی بهتر است اگر شما تعداد زیادی از ترافیک به وب سایت خود را در آینده خواهد شد. حل مشکلات دیگر مانند آدرس آی پی به اشتراک گذاری و بد محله را می توان با به دنبال شرکت معتبر تر است که بسیاری از این مشکلات را ندارد.

virtual

بیشترین گام مهم در شما ایجاد وب سایت است. برای مبتدی انتخاب وب سایت میزبانی وب تصمیم گیری دشوار را ممکن است. به سردرگمی در ذهن خود را حل کند، آنها فقط نیاز به مرتب کردن حقایق در مورد این دو نوع مختلف از میزبانی.

برای میزبانی مجازی، نرخ های ارزان تر است اما خود سرویس مشترک است. از آنجا که آنها چند وب سایت در یک سرور میزبان آنها ممکن است کندتر پاسخ با سرور خود را. این همچنین بدان معنی است که شما آدرس آی پی مشترک هستند. بنابراین، وب سایت شما گاهی با دیگر وب سایت بی ربط است که محتوای بزرگسالان و قمار یا مثلا مربوط به پیوند دهید. این با اطراف محله آدرس IP است. پس آن چیزی که بسیار خوب به شما بازدید کنندگان با صفحات وب دیگر ظاهر از هیچ اتفاق نیست.

همانطور که برای میزبانی اختصاصی شما به سرور خود را داشته باشد. بنابراین، زمان پاسخ بهتر خواهد شد و شما باید مسائل پهنای باند را به نگران. با این حال، به لذت بردن از این نوع از خدمات، شما مجبور به پرداخت بیشتر. چون تمام یخ استفاده می شود برای شما وب سایت تنها شما ناخواسته پاپ را ندارد.

اگر وب سایت شما مقدار زیادی از ترافیک، انتظار به عنوان یک نتیجه گیری مجازی میزبانی وب شما را کافی خواهد بود. از سوی دیگر اختصاصی بهتر است اگر شما تعداد زیادی از ترافیک به وب سایت خود را در آینده خواهد شد. حل مشکلات دیگر مانند آدرس آی پی به اشتراک گذاری و بد محله را می توان با به دنبال شرکت معتبر تر است که بسیاری از این مشکلات را ندارد.