Preguntas con etiqueta 'appsec'

preguntas con etiqueta
2
respuestas

XSS en la solicitud GET no descodificada en el backend

Así que estoy bastante seguro de saber la respuesta a esta pregunta, pero quiero estar 100% seguro, así que estoy buscando información aquí. Se informó de una vulnerabilidad en un sitio mío que se parece a esto: GET mysite.com/page<script&g...
hecha 31.03.2016 - 21:03
3
respuestas

Enumeración de parámetros del método API a través del navegador web

Estoy obligado por contrato a evitar la enumeración de los parámetros de un método API pero no puedo lograrlo. Cuando envío una solicitud en blanco al servidor de API en un navegador web, el servidor responde con los parámetros exactos que re...
hecha 09.12.2015 - 11:52
2
respuestas

¿Es compatible con PCI / kosher enviar un número de tarjeta de crédito a un servidor de terceros desde un cliente móvil?

Estoy creando una aplicación móvil, y parte de la funcionalidad de la aplicación es realizar un pedido a un tercero. El servidor de terceros acepta una cadena de número de tarjeta de crédito. ¿Puedo crear un cliente móvil para interactuar con es...
hecha 30.10.2015 - 23:01
1
respuesta

Sobre la capacidad de ingeniería inversa de la API privada de Instagram

Encontré estas publicaciones de blog donde un hombre pudo extraer la clave de firma privada de Instagram de la aplicación de Android: enlace Que luego podría usarse con el propósito de explotar la API privada de Instagram, así: enlace...
hecha 22.11.2015 - 23:23
2
respuestas

Cómo calificar o revisar la seguridad de una aplicación web Java

¿Hay una manera de calificar o revisar la seguridad de una aplicación web Java? Excepto por el escáner web o la auditoría de código, ¿existe una métrica / procedimiento para evaluar la seguridad de la aplicación? También he leído ¿Cómo calif...
hecha 25.09.2015 - 17:18
1
respuesta

¿El cumplimiento de solo permitir que la aplicación firmada se ejecute en un servidor de Windows es una regla segura en un entorno de producción?

Hay varias herramientas de seguridad que permiten a un administrador exigir que solo las aplicaciones firmadas se ejecuten en un sistema operativo Windows. ¿Es esta una regla de aplicación general realista en un servidor de producción, sabiendo...
hecha 18.05.2015 - 19:05
3
respuestas

¿Representa algún riesgo el envío de archivos de imágenes en http en una aplicación segura? [duplicar]

Me encontré con este escenario recientemente, donde una aplicación móvil utilizada para la banca está enviando solicitudes HTTP para imágenes GIF y solicitudes HTTPS para todas las demás transacciones. Pero las solicitudes a las imágenes GIF s...
hecha 04.06.2015 - 08:51
1
respuesta

En el peor de los casos OPEN REDIRECTION URL y por qué Google no lo cubre en la recompensa de errores

OPEN URL REDIRECTION según mi opinión puede resultar muy peligroso al crear ataques como el phishing. Pero parece que Google lo considera como un error de muy bajo nivel y no ofrece ninguna recompensa monetaria por esto. Entonces, mi pregunta...
hecha 22.09.2014 - 21:05
1
respuesta

Iframe postmessage fraudes

He revisado algunos materiales aquí y en otros sitios relacionados con el uso seguro de Window.postMessage. Hay un montón de material relacionado con las mejores prácticas, pero una de mis preguntas sigue sin respuesta. Por lo que pude entend...
hecha 21.12.2014 - 21:25
1
respuesta

cómo usar contraseñas hash para recuperar claves del almacén de claves o acceder a la base de datos

¿Cómo hago un hash de la contraseña para un almacén de claves? ¿Cómo uso el hash para recuperar algo del almacén de claves? Del mismo modo, ¿cómo uso una contraseña con hash para acceder a la base de datos? He cifrado la contraseña y la he al...
hecha 28.04.2014 - 14:32