Preguntas con etiqueta 'appsec'

preguntas con etiqueta
1
respuesta

¿Cuáles son las implicaciones de seguridad de instalar un perfil de configuración de iPhone?

¿Cuáles son los riesgos de seguridad de instalar un "perfil de configuración" en iOS desde www.vshare.com ? No sé qué es un perfil de configuración o qué hace. Se encuentran en Configuración > General > Perfiles y amp; Gestión de dis...
hecha 09.03.2016 - 21:54
0
respuestas

¿Es relevante la manipulación del historial de sitios cruzados (XSHM)?

XSHM es una vulnerabilidad que explota el hecho de que el objeto del historial del navegador no sigue el mismo La política de origen y, por lo tanto, al rastrear los cambios realizados en este objeto, podemos rastrear las actividades de un usu...
hecha 19.02.2018 - 08:07
1
respuesta

División de respuesta HTTP en la práctica

¿Alguna vez has visto la división de respuesta HTTP en un entorno de laboratorio? Hay muchos ejemplos de vulnerabilidad de división de respuesta HTTP. Usé PHP antiguo y logré obtener 2 respuestas del servidor que están visibles en wiresha...
hecha 31.08.2015 - 08:28
3
respuestas

¿Este ataque de concepto funciona para cosechar credenciales y 2FA usando un sitio falso sin conexión?

Mi concepto es este: El cliente se conecta a Malicious \ Eviltwin AP El cliente se conecta a www.facebook.com pero este es un sitio sin conexión falso por el servidor falso de dns El cliente ingresa usuario y contraseña --- > e...
hecha 20.10.2015 - 12:07
0
respuestas

Alternativa moderna para las contraseñas [cerrado]

Hoy - vi una pregunta sobre uso de contraseñas en automóviles . ¿Hemos desarrollado algo además de contraseñas para TI? ¿Hay alguna otra solución disponible para mi usuario común, directo al negocio, cliente que paga con energía? Además de tene...
hecha 20.08.2015 - 20:49
4
respuestas

Saneamiento de consultas SQL (lista negra)

Tengo un problema / desafío siguiente: La aplicación web (ASP.NET 3.5) instalada en la LAN corporativa y opera en SQL Server DB debe proporcionar la capacidad de generar informes personalizados. Estos informes pueden ser, básicamente, cualqui...
hecha 18.01.2012 - 09:27
2
respuestas

getlogin vulnerable

Estaba leyendo " Una taxonomía de errores de codificación " y tengo una duda con respecto al punto mencionado en C / C ++ > > Abuso de API > > A menudo mal utilizada: autenticación (getlogin). No entiendo el vector de ataque menci...
hecha 15.03.2012 - 19:23
2
respuestas

¿Por qué OWASP ASVS requiere que las respuestas HTTP tengan un encabezado de contenido que especifique un conjunto de caracteres?

El Estándar de verificación de seguridad de aplicaciones OWASP ( ASVS ), versión 3, establece en la cláusula V11.2:    Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido que especifique un conjunto de caracteres seg...
hecha 04.05.2016 - 21:38
3
respuestas

¿Es más seguro usar la aplicación Gmail a través de Web Gmail?

El uso de Web Gmail sobre Gmail es más seguro, por ejemplo, vea las siguientes opciones: Android Google Chrome o aplicación de Android Aplicación universal de Windows Google Chrome o Windows Aplicación MacOS Safari o MacOS App Store Ap...
hecha 03.10.2016 - 00:55
3
respuestas

verificación SSL del nombre de host del servidor https

Recientemente encontré que una biblioteca que estoy usando (específicamente Apache HTTPClient) cuando está configurada para verificar el nombre de host del servidor remoto con el CN del certificado, parece que está haciendo una comparación de ca...
hecha 17.08.2011 - 21:13