Preguntas con etiqueta 'asp.net'

preguntas con etiqueta
4
respuestas

¿Merece la pena desde el punto de vista de seguridad limitar al usuario del servidor de base de datos para el sitio web ASP.NET a solo EJECUTAR en procedimientos almacenados?

Sé que, obviamente, debemos evitar los ataques de inyección de SQL mediante la validación de las entradas del usuario y las consultas parametrizadas. Ya existe un servidor de seguridad en el servidor de la base de datos para limitar las conexion...
hecha 09.08.2011 - 22:51
2
respuestas

¿Se necesitan el ID de usuario y la contraseña para realizar una prueba de un sitio web?

Somos una empresa que tiene muchas aplicaciones web desarrolladas en ASP.NET. Nuestro proveedor de servicios de Internet (Telefónica) quiere probar nuestros sitios web en busca de vulnerabilidades. Para eso, nos piden que les proporcionemos cred...
hecha 23.01.2014 - 19:01
5
respuestas

Enlaces de restablecimiento de contraseña: ¿valor aleatorio o mensaje autenticado?

¿Cuál es mejor? Cree un token de restablecimiento de contraseña cifrada a prueba de manipulaciones que contenga la identificación del usuario y el tiempo de caducidad dentro del token cifrado. Genere un token aleatorio y almacénelo en l...
hecha 22.02.2013 - 23:31
3
respuestas

¿Verifica que un usuario del sitio web esté detrás de un firewall corporativo?

Tenemos un sitio web de comercio electrónico público alojado en nuestro centro de datos en el sitio. Para las personas que se encuentran dentro del firewall corporativo que golpea el sitio web, quiero mostrar información de perfil sobre la solic...
hecha 10.06.2011 - 20:12
1
respuesta

Ataque de división de respuesta HTTP ASP.NET

Por defecto, ASP.NET verifica si hay un ataque de división de respuesta HTTP cuando realiza Response.Redirect: Response.Redirect("/MySite/Default.aspx?lang=foobar%0d%0aContentLength:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContentType:%20text/...
hecha 16.01.2012 - 19:34
1
respuesta

¿No es aconsejable utilizar Redis para almacenar PII, claves privadas y otros secretos?

Estoy revisando un sistema que usa Redis para almacenar todos los secretos del cliente, las claves privadas y otras cosas. El problema es que Redis carga toda la base de datos en la RAM Debido a que se sabe que heartbleed de SSL, Rowhamme...
hecha 22.03.2015 - 13:43
1
respuesta

¿Qué tan seguros son los proveedores de rol y membresía ASP.NET predeterminados para el servidor Sql?

Tengo una idea muy básica de cómo funcionan estos. Las he usado muchas veces cuando necesitaba un sistema de administración de usuarios en lugar de escribir el mío. ¿Pero debo usar estos para un sistema de producción? ¿Las cuentas de usuario de...
hecha 17.06.2011 - 23:07
1
respuesta

CSRF en ASP.NET

Hay un formulario ASP.NET de "cambio de contraseña" que tiene la validación de eventos y viewstate habilitados. No hay fichas específicas anti-csrf. Según entiendo, para ejecutar un ataque CSRF exitoso, un atacante tendrá que poder obtener tanto...
hecha 15.12.2014 - 11:57
1
respuesta

Las aplicaciones web terminan cadenas en null-byte

Acabo de realizar algunas pruebas de penetración en un sitio y he notado (y me he dado cuenta antes, pero ahora parece ser un buen punto para mencionarlo) que poner un byte nulo en la cadena de búsqueda termina la cadena allí. Eso está bien p...
hecha 23.09.2013 - 18:21
3
respuestas

Cómo cifrar todas las contraseñas de clientes existentes [cerrado]

Trabajo para una tienda en línea y desde que trabajé aquí hemos almacenado las contraseñas de los clientes en texto sin formato. Me uní a la empresa como informador de datos y cuando descubrí que lo habíamos hecho, lo encontré con la gerencia, p...
hecha 16.01.2015 - 13:45