Preguntas con etiqueta 'header'

preguntas con etiqueta
0
respuestas

¿Es seguro el token CSRF administrado a través de encabezados HTTP?

Estoy creando una protección CSRF en mi aplicación, y me pregunto cuál es la mejor (o mejor dicho, la forma menos segura) de transmitir mi token CSRF. La aplicación aplica HTTPS, con TLS1.2. Cuando genero el token en el lado del servidor, nec...
hecha 07.10.2017 - 23:35
0
respuestas

¿Qué encabezados HTTP generalmente sugieren usar? [cerrado]

Siento que hay mucha variación en los encabezados HTTP sugeridos. A menudo veo sugerencias para: HTTP Strict Transport Security Content Security Policy X-Frame-Options (mismo origen) X-Xss-Protection (b...
hecha 12.03.2017 - 15:13
1
respuesta

Verifique si hay configuraciones de CORS inseguras con cURL

Estoy tratando de verificar la configuración de CORS de un sitio web usando cURL. El siguiente comando debería permitirme verificar si la configuración de CORS puede considerarse segura o si se pueden realizar solicitudes a través de los orígene...
hecha 15.11.2017 - 16:20
1
respuesta

Implementación del encabezado de seguridad HTTP

¿Alguien sabe si: Opciones de X-Frame X-XSS-Protection Opciones de tipo de contenido X Política de seguridad del contenido son para HTTP y: Seguridad estricta en el transporte Public-Key-Pins son para HTTPS? Lo que quier...
hecha 21.08.2017 - 22:08
1
respuesta

encabezado CSP default-src: datos:

Estoy probando la implementación del encabezado CSP. El valor del encabezado implementado es: Content-Security-Policy: default-src 'self' data:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' X-Content-Securi...
hecha 07.05.2018 - 20:06
1
respuesta

Al tener confusión de que esta respuesta indica una vulnerabilidad CORS

HTTP/1.1 200 OK Content-Type: application/json Content-Length: 12 Connection: close Date: Tue, 25 Sep 2018 12:59:56 GMT x-amzn-RequestId: xxxxxxxxxxx Access-Control-Allow-Origin: * Access-Control-Allow-Headers: Content-Type,Authorization,Accept,X...
hecha 25.09.2018 - 15:19
1
respuesta

¿Consideración de PCI para los encabezados HTTP? [cerrado]

Recientemente, algunos de nuestros servidores fueron marcados por no implementar los encabezados HTTP adecuados en una exploración de Qualys. Uno de los sitios que visito regularmente: enlace tiene implementados algunos buenos encabezados H...
hecha 27.06.2017 - 01:20
1
respuesta

¿Qué es un esquema de explotación en este ataque XSS? [duplicar]

Básicamente, he encontrado una inyección XSS cambiando la carga útil con el encabezado X-Forwarded-Host , ya que su valor se refleja en el documento y no está saneado. Un ejemplo, esta es la fuente del documento: <a href="http://...
hecha 23.10.2017 - 21:35
1
respuesta

Vulnerabilidad de inyección de host ¿Códigos HTTP exitosos? [cerrado]

Estoy intentando explotar la vulnerabilidad de Inyección de host de un sitio web. Si cambio el host o agrego otro host, ¿cuáles son todos los códigos de respuesta HTTP que me informarán sobre una vulnerabilidad de inyección de host HTML exito...
hecha 26.03.2017 - 17:21
1
respuesta

El gmail enviado fue modificado a otra versión, ¿cómo rastrear el registro al lado del encabezado?

Recientemente, los correos electrónicos que envié desde gmail se modificaron o los documentos se reemplazaron para otros. Cuando me comuniqué con Google, solo pidieron el encabezado pero nada más. Además, cuando veo los dispositivos en act...
hecha 02.03.2016 - 17:46