یکی از توصیه های OWASP ، تنظیم هدر X-Frame-Options است که اجازه می دهد تا صفحات ما در Iframes بارگذاری شوند فقط توسط همینورژین. یکی از دلایل این است که به دلیل حملات فیشینگ ، خوب می دانم. اما اگر من یک مهاجم بودم و هدف من پیکربندی شده بود که X-Frame-Options را روی همینورژین…
برنامه وب – تزریق هدر میزبان در برچسب متا
هنگامی که من یک هدر X-Forwarded-Host: bing.com اضافه کردم ، آن را به تگ های متا در سایت حاوی bing.com تزریق می کند ، آیا این اثر امنیتی دارد آیا من برای این آسیب پذیری گزارش می کنم؟ بارهای XSS می تواند؟ اجرا نمی شود زیرا برچسب متا ، علامت گذاری دوگانه و < >…
آیا ضبط CAA بر روی نام میزبان محلی در یک شبکه LAN امنیت اضافی را ارائه می دهد؟
یک پرونده CAA DNS مقامات گواهی نامه را که ممکن است برای دامنه و زیر دامنه های آن صدور گواهی صادر کنند ، محدود می کند. آیا سوابق CAA در یک محیط LAN منطقی است؟ نام های داخلی مانند ldap.emea.contoso.local را با گواهی هایی که توسط یک CA داخلی امضا شده است فرض کنید. آیا…
رمزگشایی / دید SSL در میزبان
آیا برنامه میزبان می تواند ترافیک را قبل از رمزگذاری شبکه مشاهده کند؟ به عنوان مثال. آیا یک برنامه VPN مبتنی بر میزبان می تواند از ترافیک cleartext (http به https) برای تصمیم گیری در مورد مسیریابی ترافیک دیدن کند؟ با توجه به مدل TCP / IP ، همه در لایه برنامه کار می کنند.
میزبان Keylogging از دستگاه مجازی
آیا یک keylogger در یک ماشین مجازی (سیستم عامل مهمان) می تواند در سیستم عامل میزبان ضربات کلید را ضبط کند؟ آیا راهی برای انجام آن وجود دارد؟