Preguntas con etiqueta 'appsec'

preguntas con etiqueta
2
respuestas

Almacenamiento de paquetes de certificados (archivos .pfx)

En una aplicación implementada en múltiples entornos (por ejemplo, Test / Prod), ¿cuál es una buena práctica para almacenar el paquete de certificado específico del entorno (archivo .pfx)? Es la contraseña que protege el archivo .pfx y lo alm...
hecha 29.03.2018 - 01:16
2
respuestas

Para sitios de carga de usuarios no confiables: ¿cuál debería ser el contenido de crossdomain.xml y clientaccesspolicy.xml?

Flash tiene un largo historial de ignorar los tipos de archivos MIME y leer el archivo directamente para contenido ejecutable o permisos de ejecución entre dominios. Eso significa que un usuario malintencionado puede aprovechar esto para crear f...
hecha 05.03.2012 - 02:18
1
respuesta

Restricción de IP de Tomcat frente a OAuth de dos patas

Tenemos una API del lado del servidor que está completamente basada en REST. Estamos codificando para asegurarlos con dos tipos de autenticación de tipo oAuth. Planeamos aplicaciones de iPhone y Android en el futuro, pero por ahora, tenemos una...
hecha 19.02.2012 - 19:08
2
respuestas

capa DMZ para el servidor web / capa de presentación

Necesito ayuda para explicar a las personas no relacionadas con la seguridad por qué deseo requerir el servidor web / la capa de presentación en un dmz. He dado opciones para una arquitectura de nivel dos (presentación / lógica - > lógica / d...
hecha 06.08.2017 - 15:48
1
respuesta

¿El envío de recaptchaPublicKey y RecaptchaToken en la publicación solicita una amenaza potencial para la seguridad?

He implementado reCaptcha en el formulario de inicio de sesión para ralentizar el potencial ataque de fuerza bruta. Sin embargo, la aplicación envía recaptchaPublicKey & RecaptchaToken en la solicitud de publicación junto con las credenciale...
hecha 22.12.2017 - 13:01
1
respuesta

Vulnerabilidad de carga de archivos PHP

Estoy evaluando la seguridad de un portal web para un cliente y encontré una vulnerabilidad. Encontré una función donde se encarga de subir archivos. Se supone que solo lo deben usar los administradores, pero la función real se puede llamar d...
hecha 15.01.2018 - 22:05
1
respuesta

Cualquier vulnerabilidad de seguridad en PHP fsocketopen

Estoy evaluando la seguridad de un portal web para un cliente y encontré una vulnerabilidad. En el PHP, el código analiza la URL proporcionada por el usuario, encuentra el nombre de host y luego hace esto: fsocketopen ("http: //" $ URL_HOS...
hecha 15.01.2018 - 20:26
1
respuesta

El perfil de Apparmor niega el acceso de lectura con la marca r

Generé un perfil de apparmor para el binario tor que viene incluido en Ricochet: # Last Modified: Sun Apr 2 2017 #include <tunables/global> /ricochet/*-ricochet/tor { #include <abstractions/base> deny /etc/ld.so.preload r,...
hecha 03.04.2017 - 15:36
1
respuesta

¿Qué vulnerabilidades distintas del recorrido del directorio están bajo IDOR?

La vulnerabilidad más común en la categoría OWASP Referencia de objeto directa insegura es de directorio transversal. ¿Cuáles son las otras vulnerabilidades que entran en esta categoría?     
hecha 07.01.2017 - 08:11
1
respuesta

Preocupaciones de seguridad con un error del servidor ASP.net [duplicar]

¿Hay algún problema de seguridad que pueda surgir de un error del servidor generado por ASP.net y que se envíe al usuario? Soy consciente de los posibles problemas de la información confidencial que se envía en el mensaje de error, pero ¿qué t...
hecha 14.03.2016 - 16:12