Preguntas con etiqueta 'appsec'

3
respuestas

¿Es una vulnerabilidad mostrar los mensajes de excepción en una página de error?

Nuestra aplicación web tiene una página de error que muestra la ruta URL absoluta y la consulta de la página en la que se produjo el error, la fecha / hora del error y el mensaje de excepción. (No mostramos el seguimiento de la pila. Esa es una...
hecha 09.06.2011 - 16:12
3
respuestas

¿Cuál es el punto de la regla del mismo dominio para xmlhttprequest cuando las etiquetas de script / JSONP pueden cruzar dominios?

Entiendo que no quiero que se cargue una página de stackoverflow.com para poder solicitar gmail.com en mi nombre y leer mi correo electrónico, pero esto parece ser simplemente un problema de cookies. Ya que JSONP omite por completo el mismo o...
hecha 23.03.2012 - 02:12
6
respuestas

¿Existe un riesgo de seguridad al ejecutar aplicaciones web en debug="true"?

Esta es una copia de el original pregunta sobre Stack Overflow que no recibió mucho amor y probablemente sea más relevante aquí: Hay muchas razones de rendimiento por las que las aplicaciones no deberían ejecutarse en modo debug="true" ( bu...
hecha 16.12.2010 - 01:56
4
respuestas

Cómo implementar la autenticación sin contraseña en un sitio web

En una respuesta a esta pregunta sobre el restablecimiento de pw , D.W. dice:    Por último, considere la autenticación sin contraseña. Las contraseñas tienen muchos problemas como mecanismo de autenticación, y puede considerar otros métodos...
hecha 21.05.2011 - 01:22
2
respuestas

¿Qué hubo detrás de la oleada de vulnerabilidades / parches de Adobe Flash Player en 2015?

No es ningún secreto que 2015 fue un año difícil, desde el punto de vista de la seguridad, para Flash Player de Adobe. Aparte de la propia Adobe, comienza esencialmente a en desuso el desarrollo de Flash En gran parte debido al estado de larga...
hecha 04.01.2016 - 10:06
0
respuestas

¿Cómo puedo interceptar y modificar las solicitudes HTTP?

¿Hay alguna herramienta gratuita disponible que me permita interceptar y modificar las solicitudes HTTP de prueba? Estoy buscando herramientas que me permitan enviar encabezados HTTP personalizados.     
hecha 12.11.2010 - 14:41
4
respuestas

¿Es AJAX fundamentalmente inseguro?

En mi lugar de trabajo, muchas personas creen que AJAX es fundamentalmente inseguro. Tengo la impresión de que AJAX es exactamente tan seguro como cualquier otra carga de página, depende de cómo codifique la llamada / página. ¿Existe un e...
hecha 09.03.2011 - 15:23
6
respuestas

Solución para permitir la entrada de JavaScript pero evitar XSS

Tenemos un sistema de blog simple que permite a los usuarios ingresar html y JavaScript para crear una página de blog. Soy consciente de que permitir que javascript abra la puerta a los ataques xss. Sin embargo, necesitamos permitir que los usua...
hecha 30.06.2011 - 09:20
3
respuestas

¿El formulario de inicio de sesión de Facebook está usando SSL sin https en la URL?

Si voy a enlace , no estoy redirigido a enlace . Si no tiene https en la URL, ¿puede ser seguro el inicio de sesión? ¿Normalmente me redireccionan a una página https en otros sitios? ¿Cómo gestiona Facebook su inicio de sesión?     
hecha 08.10.2011 - 19:23
4
respuestas

¿Es seguro servir cualquier archivo subido por el usuario solo con los tipos de contenido MIME incluidos en la lista blanca?

Digamos que desarrollo una aplicación que, Permite a cualquier usuario cargar un archivo de solo tipo de contenido y extensiones de mimo en lista blanca (word y pdf). Sirve esos archivos con la extensión permitida y el tipo de contenido....
hecha 15.02.2012 - 18:17