Preguntas con etiqueta 'appsec'

preguntas con etiqueta
2
respuestas

Intento de inicio de sesión registro de contraseña y ofuscación

Tengo una aplicación de terceros que registra la contraseña de cada intento de inicio de sesión (independientemente del éxito o el fracaso). ¿Es esta una operación estándar y realmente sirve para algún propósito de seguridad significativo? No en...
hecha 24.05.2016 - 01:35
1
respuesta

Aparte del token del sincronizador, ¿existe alguna forma de protección contra CSRF utilizando encabezados http?

Hace poco me encontré con algunos sitios web que utilizaban el encabezado HTTP, a saber, X-XSRF-Token y una cookie con un nombre similar. ¿Es una mitigación mejor que usar la seguridad basada en token aleatorio para CSRF?     
hecha 15.01.2015 - 11:34
1
respuesta

¿Cómo audita una compañía el QSA de PCI?

Las configuraciones corporativas a menudo son complejas con centros de datos en múltiples ubicaciones, ACL complejas y configuración de redes entre ellas. ¿Cómo un auditor de PCI audita realmente los sistemas? ¿Cómo llega a conocer el inte...
hecha 05.02.2013 - 11:32
1
respuesta

sigsegv en php5.3.10

Encontré una situación de desbordamiento en php5.3.10. Probablemente no sea 'algo nuevo', pero si puedo entender esto, Me ayudará a encontrar este tipo de error más rápido en el futuro. ¿Qué puedo hacer para verificar cómo / qué / dónde oc...
hecha 05.11.2012 - 08:21
2
respuestas

¿Debería la técnica 'Double Submit Cookie' de CSRF tener un valor semilla diferente para la cookie en comparación con la POST de HTTP?

Estoy leyendo sobre OWASP doble submit cookies método de protección y allí indica que el valor de la cookie entre el encabezado y la forma debe coincidir. Eso parece ser un riesgo, como lo indica el artículo, ya que el DOM & puede acced...
hecha 09.02.2011 - 16:57
2
respuestas

¿Se considera este recorrido del directorio?

Por lo tanto, actualmente estoy probando un sitio que tiene una URL como esta example.com/dir1/dir2?nextPage=/someOtherDir/someHTMLfile.html Descubrí que puedo hacer para llegar a la página de inicio example.com/dir1/dir2?nextPage=../../...
hecha 17.07.2017 - 04:04
2
respuestas

¿Hay problemas de seguridad al confiar en un dominio de correo electrónico para asignar permisos automáticamente?

Estoy trabajando en un nuevo sistema de clientes, y asignan automáticamente permisos basados en el nombre de dominio para la dirección de correo electrónico en la que se creó la cuenta (requieren validación a través de un correo electrónico)....
hecha 02.11.2018 - 20:56
1
respuesta

Explotando la solicitud PUT CSRF

Si la aplicación utiliza comunicación REST, ¿debe tener protección CSRF para las solicitudes PUT y DELETE? Según tengo entendido, no es posible activar una solicitud PUT mediante JavaScript y, por lo tanto, me gustaría saber si existe alguna pos...
hecha 21.11.2015 - 10:44
1
respuesta

¿Cómo funciona la autenticación sin OAuth en las aplicaciones móviles?

Tengo un sitio web (Drupal) que necesita una aplicación móvil complementaria para algunas cosas (bastante personalizadas, no solo para crear / ver nodos). Sé que puedo usar OAuth para esto, pero me preguntaba sobre alternativas (porque OAuth es...
hecha 17.09.2014 - 10:53
2
respuestas

Aspersión del montón contra procesos de 64 bits: ¿posible?

Son hazañas de spray en heap es posible, si el proceso que estamos atacando es un proceso de 64 bits? De manera ingenua, parece que la dirección de 64 bits dificulta el montaje de un montón de rociado: para llenar toda (o una fracción signi...
hecha 04.06.2014 - 00:57