Preguntas con etiqueta 'appsec'

preguntas con etiqueta
5
respuestas

¿Cómo puedo exportar mi clave privada desde un almacén de claves Java Keytool?

Me gustaría exportar mi clave privada desde un almacén de claves Java Keytool, por lo que puedo usarla con openssl. ¿Cómo puedo hacer eso?     
hecha 13.05.2011 - 13:11
6
respuestas

¿Cómo implementar de forma segura una característica de "Recordarme"?

Suponiendo que ya tiene un sitio web que implementa todas las cosas de inicio de sesión estándar, ¿cuál es la manera más segura y correcta de permitir que los usuarios inicien sesión automáticamente durante un período de tiempo determinado (diga...
hecha 11.11.2010 - 23:32
5
respuestas

¿Normas para cifrar contraseñas en archivos de configuración?

Mi lugar de trabajo tiene el estándar de que las contraseñas de texto simple no están permitidas en los archivos de configuración de la aplicación. Esto tiene bastante sentido en su cara, en caso de que alguien tenga acceso a los archivos de con...
hecha 16.05.2012 - 17:40
5
respuestas

¿Nueva hoja de trucos de XSS? [cerrado]

Hay una gran lista de vectores XSS disponibles aquí: enlace , pero no ha cambiado mucho últimamente (por ejemplo, La última versión FF mencionada es 2.0). ¿Hay alguna otra lista tan buena como esta, pero actualizada?     
hecha 12.11.2010 - 09:14
3
respuestas

Cómo explotar los métodos HTTP

Muchos escáneres de seguridad como nikto , nessus , nmap , y w3af a veces muestran que Los métodos HTTP como HEAD, GET, POST, PUT, DELETE, TRACE, OPTIONS, CONNECT, etc. son vulnerables a los ataques. ¿Qué hacen estos encabezados y cómo p...
hecha 10.10.2012 - 22:23
4
respuestas

¿Cómo inyectar código malicioso ejecutable en PDF, JPEG, MP3, etc.?

Quería saber si generalmente es posible inyectar código ejecutable en archivos como archivos PDF o JPEG, etc., o ¿debe haber algún tipo de agujero de seguridad en la aplicación? Y si es así, ¿cómo se haría eso? A menudo escucho que las...
hecha 13.10.2011 - 20:59
6
respuestas

Probando el método HTTP TRACE

¿Cómo puedo probar HTTP TRACE en mi servidor web? Necesito entrenar a un probador sobre cómo verificar que el método HTTP TRACE esté deshabilitado. Idealmente, necesito una secuencia de comandos para pegarla en Firebug para iniciar una c...
hecha 27.02.2013 - 22:34
5
respuestas

¿Hay problemas de seguridad al incrustar un iframe HTTPS en una página HTTP?

He visto sitios web colocando iframes HTTPS en páginas HTTP. ¿Hay algún problema de seguridad con esto? ¿Es seguro transmitir información privada como los detalles de la tarjeta de crédito en un esquema de este tipo (donde la información so...
hecha 30.11.2010 - 18:13
3
respuestas

¿Cómo deben defenderse los desarrolladores de aplicaciones web contra el secuestro JSON?

¿Cuál es la mejor defensa contra secuestro JSON ? ¿Puede alguien enumerar las defensas estándar y explicar sus fortalezas y debilidades? Aquí hay algunas defensas que he visto sugeridas: Si la respuesta JSON contiene datos confidenciales...
hecha 09.09.2011 - 05:09
8
respuestas

Si incluyo un servicio Olvidé mi contraseña, ¿para qué usar una contraseña?

He implementado un servicio de Contraseña Olvidada de la siguiente manera: El usuario va a la página de inicio de sesión, hace clic en "¿Olvidó la contraseña?" El usuario recibe un formulario que solicita su dirección de correo electrónico...
hecha 17.03.2012 - 04:02