Preguntas con etiqueta 'appsec'

8
respuestas

¿Debo molestarme en enseñar más los desbordamientos de búfer?

Los estudiantes se muestran escépticos de que apagar pilas no ejecutables, apagar canarios y apagar ASLR representa un entorno realista. Si PaX, DEP, W ^ X, etc., son eficaces para detener los ataques de desbordamiento de búfer, ¿sigue siendo va...
hecha 01.03.2011 - 04:42
5
respuestas

¿Cómo realizar una auditoría de seguridad para una aplicación PHP?

Tengo una aplicación PHP que me gustaría haber auditado por seguridad. Estoy familiarizado con la mayoría de los problemas de seguridad en general, pero quiero asegurarme de que no me haya perdido nada. ¿Qué pasos debo seguir para realizar un...
hecha 11.11.2010 - 22:47
1
respuesta

¿Qué ataques de cookies son posibles entre computadoras en dominios DNS relacionados (* .ejemplo.com)?

Aquí, varios servidores en el mismo dominio DNS emiten cookies bajo una variedad de configuraciones (alcance, HTTPS, seguro) y otro host emite una cookie con el mismo valor. Ejemplo Supongamos que un usuario tiene la siguiente cookie con...
hecha 05.03.2012 - 02:03
4
respuestas

¿Qué transferir? Contraseña o su hash?

Digamos que en mi base de datos almaceno las contraseñas con sal con un hash bastante caro (scrypt, 1000 rondas de SHA2, lo que sea). Al iniciar sesión, ¿qué debo transferir a través de la red y por qué? Contraseña o su hash? ¿Es posible p...
hecha 30.06.2011 - 14:47
4
respuestas

¿Está bien revelar los nombres de las tablas de la base de datos?

Estoy desarrollando una aplicación web que usa base de datos. Tengo que hacer algunas operaciones que necesitan nombres de tabla de base de datos y esquema de tabla db. ¿Será seguro si envío este tipo de información al lado del cliente (JavaScri...
hecha 06.05.2013 - 10:11
2
respuestas

¿Cómo puede una aplicación de software defenderse contra DoS o DDoS?

La mayoría de las soluciones para los ataques DoS no están en el nivel de la aplicación. En caso de que esté usando un servidor proxy, ¿cuáles son las posibles contramedidas para DoS a nivel de aplicación?     
hecha 12.11.2010 - 16:41
5
respuestas

¿Cuál es la forma correcta de implementar tokens de formulario anti-CSRF?

Soy plenamente consciente de CSRF y ya he implementado algunos formularios seguros, pero nunca me ha gustado. Los resultados todavía. He creado tokens como md5 de nombre de usuario, información de formulario y salt y lo almacené en una se...
hecha 12.11.2010 - 08:58
8
respuestas

¿Cómo evitar coincidencias de nombre de usuario y contraseña al cambiar un nombre de usuario?

Digamos que tengo un sistema donde uno de los requisitos de seguridad es evitar que los usuarios elijan una contraseña que coincida con su nombre de usuario. Los nombres de usuario no distinguen entre mayúsculas y minúsculas, pero las contraseña...
hecha 07.03.2016 - 20:36
5
respuestas

¿Es suficiente el filtrado de los datos de entrada del usuario o debería analizarse?

En una aplicación web, podría haber dos enfoques para mitigar los ataques XSS: todos los datos de entrada podrían filtrarse (eliminando todos los datos 'malos'), o la entrada se puede analizar, tokenizar y generar solo con las etiquetas pe...
hecha 11.11.2010 - 22:45
3
respuestas

¿Qué cosas útiles puedo hacer con el elemento html5 "keygen"?

Hay un elemento new * keygen en la especificación html5 . Es compatible con los principales navegadores, excepto Internet Explorer y Safari. Esto es lo que parece: <form action="processkey.cgi" method="post" enctype="multipart/fo...
hecha 15.08.2011 - 11:56