Preguntas con etiqueta 'error-handling'

3
respuestas

¿Debo devolver un código de error significativo en caso de un error interno?

Digamos que estoy usando varias funciones criptográficas de una biblioteca de terceros y esas funciones criptográficas nunca deberían fallar porque mi código, y no un usuario, está enviando todos los argumentos (búferes, tamaños, etc.) por lo qu...
hecha 06.06.2018 - 16:29
0
respuestas

Datos de error de registro en una aplicación cliente (de escritorio)

Tengo un debate sobre cómo registrar correctamente los errores para la parte del cliente (Java Swing) de una aplicación cliente-servidor desde un punto de vista de seguridad. Creo que es de sentido común que exponer los detalles del error com...
hecha 18.08.2016 - 10:40
2
respuestas

¿Los archivos de registro LAMP a veces contienen información confidencial?

Tendré un servidor web LAMP con CentOS y cPanel. Con esta configuración, ¿es posible que los archivos de registro del servidor, ya sean registros regulares o de errores, contengan información confidencial en ellos, como contraseñas o variables d...
hecha 07.08.2012 - 16:21
1
respuesta

¿Qué impacto de seguridad tiene el servidor TLS al continuar el intercambio cuando se le presenta un SNI no válido?

RFC 6066 define Indicación del nombre del servidor como una extensión, por lo que los servidores web virtualizados pueden recibir una extensión SNI para saber qué certificado debe presentarse. Tiene lo siguiente que decir sobre los casos...
hecha 14.04.2016 - 16:39
2
respuestas

¿Es esto vulnerable a la inyección de Sql?

Resulta que tengo una aplicación que cuando inserto una cita simple me aparece lo siguiente: httpStatus":400,"errorCode":"BAD_QUERY_PARAMETER","message":"java.lang.NumberFormatException: For input string: \"'\"","implementationDetails":"co...
hecha 07.07.2017 - 00:01
8
respuestas

Encontrar un Keylogger oculto a través de forzar un error de cálculo

Debe ser posible detectar el registro de teclas mediante un minucioso control de la sincronización entre la ejecución física de las pulsaciones de tecla y la eventual aparición del personaje en la pantalla. Un amigo me mostró esto con su cáma...
hecha 15.03.2014 - 08:48
2
respuestas

Enumeración de datos confidenciales mediante códigos de error HTTP

Supongamos que hay un sitio web con una API que admite la siguiente llamada REST en la que el usuario autenticado Alice puede enviar un mensaje a Bob al usuario registrado que registró en nuestro sitio (hipotéticamente hablando, por el bien de e...
hecha 11.09.2018 - 12:57
2
respuestas

¿Este sitio ASP es vulnerable a XSS o no?

Tomé una exploración de un sitio ASP y dijo que la validación de la solicitud estaba desactivada. Lo atrapó enviando una URL de example.com/?foo=<script> y recibió una URL de respuesta de example.com/?foo=<script> (la m...
hecha 14.09.2015 - 04:22
0
respuestas

Asegurar una API de informe de errores contra el spamming

Estamos planeando / especificando una API REST para la comunicación con una aplicación iOS que está construyendo un equipo externo. Para la mayoría de las llamadas, la clave API está codificada en la aplicación y una ID de sesión producida por n...
hecha 28.04.2016 - 18:50
3
respuestas

¿Es seguro incluir marcas de tiempo en los códigos de error que se muestran a los usuarios?

Si se produce un error, nuestra tienda web genera un código de error que se muestra al usuario. Por el momento, no contiene una marca de tiempo, sino solo el día del mes. Eso no es intuitivo, pero asumo que la intención original era dar al posib...
hecha 04.02.2015 - 18:17