Preguntas con etiqueta 'asp.net'

preguntas con etiqueta
1
respuesta

¿Cómo probar efectivamente el riesgo de enumeración de nombre de usuario?

Soy responsable de algunas aplicaciones web públicas, y quiero probar el riesgo de enumeración del nombre de usuario como se explica en Pruebas de enumeración de usuario y cuenta de usuario adivinable (OWASP-AT-002) por el proyecto OWASP. E...
hecha 19.09.2016 - 16:49
1
respuesta

Implicaciones de seguridad de otorgar permisos de modificación a la carpeta del grupo de usuarios de IIS

Tengo un grupo de aplicaciones en IIS que se ejecuta bajo el estándar AppPoolIdentity como parte del grupo IIS_IUSRS . ¿Cuáles son las implicaciones de seguridad de otorgar a AppPoolIdentity modify y create en el intepu...
hecha 24.01.2014 - 01:11
3
respuestas

(Resuelto) Meterpreter sobre ASPX webshell

Soy un principiante y acabo de comenzar a trabajar en compromisos de pentesting. Tengo un caso en el que tengo un servidor IIS víctima (sin soporte PHP) donde tengo un shell web basado en aspx ( enlace ) se ejecuta con los derechos de usuario de...
hecha 07.08.2016 - 06:45
1
respuesta

Certificados del lado del cliente en IIS para acceder a una aplicación web solo desde una PC específica

Tenemos una aplicación web ASP.NET que se ejecuta en IIS, con aproximadamente 200 usuarios, algunos están dentro de nuestra LAN y otros están fuera de nuestra LAN. Cada usuario tiene una cuenta de usuario y una contraseña para iniciar sesión....
hecha 13.05.2015 - 15:35
1
respuesta

¿Qué método para la generación de token CSRF debo usar en mi escenario?

Estoy trabajando en una API RESTful para trabajar con mi aplicación AngularJS. La autenticación funciona mediante la generación de un formulario de ASP.NET FormsAuthenticationTicket. Se almacena en una cookie utilizando FormsAuthenticatio...
hecha 05.12.2013 - 22:50
2
respuestas

¿Cómo encuentro archivos .asmx?

Tengo un servicio web (ASP.NET) ejecutándose en mi servidor de aplicaciones. Se puede llegar a través de enlace ¿Es posible encontrar esto incluso si no conoce el nombre del archivo y la ubicación del directorio? ¿Podría escanearlo con, por...
hecha 28.03.2012 - 18:24
1
respuesta

¿Qué amenazas tiene una aplicación web sin estado? (a diferencia de las sesiones de estado completo)

Estoy comparando las ventajas y desventajas de tener una sesión MVC de ASP.NET "sin estado" autenticada versus una aplicación de formularios ASP.NET con estado de vista. Suponiendo que hay un webfarm de más de 1 servidor web detrás de un equi...
hecha 09.11.2011 - 15:00
1
respuesta

¿Se necesita AntiForgeryToken para suscribirse al boletín?

La recomendación general es incluir un token anti-falsificación en todas las solicitudes POST, pero ¿es necesario para el formulario de suscripción al boletín por correo electrónico? Muchos sitios de desplazamiento de una sola página tienen u...
hecha 22.12.2017 - 12:18
2
respuestas

problemas de XSS para campos ocultos en .NET

Tenemos una aplicación web .NET 4 con algunos campos de formulario ocultos. Cuando el sitio fue probado para detectar vulnerabilidades de XSS, estos campos ocultos fueron las primeras víctimas. ¿Cómo podemos proteger y salvaguardar nuestros camp...
hecha 17.01.2018 - 07:56
1
respuesta

¿Cómo puedo detectar si IETF TokenBinding está en uso para los tokens de portador?

La vinculación de tokens aumenta la seguridad de los tokens tradicionales de portador (cookies). Este blog describe que ASP.NET puede usar el enlace de token. Como asesor de seguridad, me gustaría observar o detectar que esto se hace desde un...
hecha 13.03.2016 - 13:32