Preguntas con etiqueta 'appsec'

preguntas con etiqueta
4
respuestas

Protegerse contra CSRF cuando se envía un formulario a través de una llamada AJAX

Estoy utilizando tokens anti-CSRF en todos mis formularios para evitar ataques CSRF. Además, los tokens se guardan en la variable $ _COOKIE para validar el valor que obtengo del formulario. Estoy restableciendo el token cada vez que se carga un...
hecha 10.09.2012 - 22:59
3
respuestas

¿Cómo manejar la información de identificación personal (PII) como inicio?

Mi inicio finalmente se enfrenta a la responsabilidad potencial de manejar la PII, y nos preocupa hacerlo correctamente desde una perspectiva de riesgo, pero también para que lo hagamos correctamente. ¿Cuál sería el mejor enfoque si quisiéram...
hecha 25.09.2017 - 20:07
5
respuestas

Las pruebas de penetración informaron vulnerabilidades CERO. ¿Significa esto que mi aplicación web es segura?

He pasado muchas horas en las pruebas de whitebox para asegurarme de que mi código era seguro. Desde un punto de vista teórico, el código DEBE ser seguro. Luego utilicé varias herramientas de prueba ampliamente conocidas (incluida una que costó...
hecha 07.01.2014 - 08:22
2
respuestas

Cómo almacenar el IV y la clave de forma temporal pero segura

Estoy utilizando .NET 4.0 para desarrollar un servicio de Windows que almacenará temporalmente los datos cifrados en una base de datos. Los datos se cifrarán cuando se inserten, luego se descifran, se procesan y se eliminan una vez procesados. E...
hecha 23.02.2012 - 14:52
2
respuestas

¿Cómo sé que mis herramientas no están en peligro? [cerrado]

Después de leer diferentes artículos, sobre todo / en relación con: Si la NSA ha estado hackeando todo, ¿cómo nadie los ha visto? ¿viene? Hack de Ken Thompson (más el concepto que detalles) Me pregunto: ¿Cómo puedo estar seguro de q...
hecha 02.02.2015 - 09:32
1
respuesta

¿Deben utilizarse Javascript y marcos de imagen para actualizar las sesiones cuando se utilizan dominios de cookies maestras?

Supongamos que tengo 3 sitios en los que quiero tener SSO, site1.com, site2.com y auth.com. SSL siempre es necesario. Según las las cookies de SiteMinder se describen aquí , uno de esos dominios sería el dominio asociado "cookie principal",...
hecha 09.08.2014 - 13:15
3
respuestas

¿Cómo me protejo contra los ataques en este script php?

Debido a una vulnerabilidad en la forma en que se instaló PHP (VPS compartido con PHP instalado como un módulo de Apache en lugar de CGI) y, por lo tanto, cómo se configuró OSCommerce (con la seguridad de 777 en ciertos directorios), encontré un...
hecha 06.07.2011 - 00:52
3
respuestas

Comunidad de pruebas de penetración de aplicaciones web de código abierto

Hago desarrollo web para ganarme la vida pero mi verdadera pasión es la seguridad. He trabajado con innumerables aplicaciones / marcos web de código abierto y he encontrado vulnerabilidades en la mayoría de ellos. La causa principal de esas vuln...
hecha 21.08.2011 - 18:17
3
respuestas

¿Hay un nombre común para un defecto de software que lleva a una transferencia inesperada de secretos a través del cable?

Supongamos que en un programa C ++ utilizo una región de memoria para almacenar temporalmente una clave de cifrado y luego no sobrescribo esa región. Entonces mi programa quiere enviar un paquete de datos a través de la red. Debido a un error...
hecha 10.08.2011 - 12:32
3
respuestas

¿Cuáles son las consideraciones de seguridad para configurar un entorno de prueba de seguridad básico?

Solo tengo 2 máquinas de repuesto y ambas son muy antiguas, pero realmente quiero configurar un entorno para poder comenzar a practicar la seguridad. Una de estas máquinas tiene un procesador Pentium 4 y 512 MB de RAM; el otro es más viejo (y no...
hecha 17.07.2011 - 02:31