Preguntas con etiqueta 'appsec'

preguntas con etiqueta
1
respuesta

Verificación de un vector de ataque específico de Cross Site Scripting

Burp sugiere que hay una reflexión ... Cambia el valor de una cookie llamada x como x=<script src=abc.js> y, en respuesta, este valor se inyecta en una función javascript .. <script type="text/javascript"> fnUseX('arg1','<...
hecha 20.11.2013 - 09:49
4
respuestas

Lista de tareas / tareas pendientes de seguridad web

¿Alguien puede sugerir una hoja de trucos o una lista de tareas pendientes del sitio web y la seguridad de la aplicación? El propietario de una pequeña empresa local hizo una pregunta sobre la seguridad web, básicamente el sitio web de su emp...
hecha 09.04.2011 - 05:16
1
respuesta

¿Qué bytes se eliminan con info-zip?

Veo muchos programas que solo comprueban .. entre los separadores de ruta. Durante mucho tiempo pensé que no era posible explotar los bytes no válidos (por ejemplo, el intento de crear .‌. conducirá a .?. en osx) . Pero...
hecha 06.05.2016 - 17:22
0
respuestas

Validación de IP de origen y destino del firewall

Para una interfaz de firewall externa, ¿por qué es una buena idea validar que la dirección IP de origen se inició desde una IP interna, o por qué se originó desde una IP externa? Si, hipotéticamente, el firewall no estaba buscando esta informaci...
hecha 27.07.2016 - 15:10
0
respuestas

inyectando javascript en webviews en Android

Soy relativamente nuevo en seguridad de aplicaciones móviles. Actualmente se supone que debo auditar una aplicación de Android que utiliza una vista web para mostrar algunas páginas estáticas de preguntas frecuentes en una actividad. La vista...
hecha 02.06.2015 - 08:52
3
respuestas

¿Qué huella deja la aplicación de iOS o Android? y como cambiarlo

He leído en algún lugar donde cada teléfono y / o sim deja algún tipo de huella cuando usa una aplicación social (Google, Instagram, etc.). Me gustaría permanecer en el anonimato o al menos mezclarme con la multitud. ¿Cómo puedo lograr esto?...
hecha 20.10.2015 - 11:29
3
respuestas

Caja blanca vs. Caja negra

¿Cuáles son las ventajas y desventajas relativas de cada forma de prueba? Es decir. ¿Cuál es la diferencia entre el análisis de código estático y las pruebas de penetración dinámica / en tiempo de ejecución? ¿Cuáles son los pros y los contras...
hecha 12.11.2010 - 13:43
1
respuesta

¿Linkedin, Google y Facebook ejecutan el cliente de BitTorrent?

Estoy ejecutando un programa de clasificación de aplicaciones que detecta la aplicación basada en conjuntos de datos de entrenamiento y firmas. Recibo una alerta de que BitTorrent se está ejecutando en mi sistema pero la aplicación no está insta...
hecha 23.10.2014 - 09:09
8
respuestas

¿Puede alguien proporcionar referencias para implementar correctamente los mecanismos de restablecimiento automático de contraseñas de las aplicaciones web?

Estamos implementando el restablecimiento automático de la contraseña en una aplicación web, y sé cómo deseo hacerlo (URL de restablecimiento de la contraseña limitada en el tiempo del correo electrónico para los usuarios de direcciones de corre...
hecha 27.01.2011 - 23:39
3
respuestas

¿Es SSL suficientemente seguro para una API REST? ¿Alguien ha utilizado PGP o AES para cifrar los datos reales dentro de SSL?

Quizás estoy siendo demasiado paranoico, pero después de leer las noticias recientes sobre seguridad de la red, estoy empezando a creer que SSL ya no es suficiente para las transmisiones de datos confidenciales. Ref: enlace enlac...
hecha 05.12.2013 - 18:39