Preguntas con etiqueta 'http'

3
respuestas

¿Es una práctica común que las empresas realicen el tráfico MITM HTTPS?

Mi empresa acaba de presentar una nueva política de VPN por la cual, una vez conectado, todo el tráfico se enruta a la red de la empresa. Esto es para permitir una mejor supervisión del robo de datos. Parece que esta política también realiza...
hecha 08.12.2015 - 11:20
4
respuestas

¿Se está muriendo SSL? ¿Debo comprar certificados SSL para mis sitios más?

Estoy planeando comprar un certificado SSL para uno de mis sitios cuando estoy preocupado por los puntos que aparecen en estos artículos: WiredTree: The El problema más importante con SSL: cómo resolverlo TechRepublic: la vulnerabili...
hecha 30.11.2014 - 08:39
2
respuestas

¿Por qué es necesario el encabezado Access-Control-Allow-Origin?

Entiendo el propósito de Access-Control-Allow-Credentials encabezado , pero no puede ver qué problema resuelve el encabezado Access-Control-Allow-Origin . Más precisamente, es fácil ver cómo, si las solicitudes AJAX entre domini...
hecha 10.10.2013 - 19:11
3
respuestas

Cómo explotar los métodos HTTP

Muchos escáneres de seguridad como nikto , nessus , nmap , y w3af a veces muestran que Los métodos HTTP como HEAD, GET, POST, PUT, DELETE, TRACE, OPTIONS, CONNECT, etc. son vulnerables a los ataques. ¿Qué hacen estos encabezados y cómo p...
hecha 10.10.2012 - 22:23
4
respuestas

¿Es necesario que una cookie CSRF sea HttpOnly?

Recientemente se nos entregó un informe de seguridad que contiene:    Cookie (s) sin el conjunto de indicadores HttpOnly vulnerabilidad, que aparentemente teníamos en una de nuestras aplicaciones internas. La solución aplicada fue tan...
hecha 15.12.2017 - 05:01
6
respuestas

Probando el método HTTP TRACE

¿Cómo puedo probar HTTP TRACE en mi servidor web? Necesito entrenar a un probador sobre cómo verificar que el método HTTP TRACE esté deshabilitado. Idealmente, necesito una secuencia de comandos para pegarla en Firebug para iniciar una c...
hecha 27.02.2013 - 22:34
4
respuestas

BREACH - un nuevo ataque contra HTTP. ¿Qué se puede hacer?

Después de CRIME, ahora tenemos BREACH se presentarán en Black Hat en Las Vegas el jueves (hoy). Del artículo vinculado, sugiere que este ataque contra la compresión no será tan fácil de desactivar como se hizo para disuadir el CRIMEN. ¿Qué se...
hecha 01.08.2013 - 22:39
3
respuestas

¿Debo deshabilitar las solicitudes http HEAD?

He visto un aumento de solicitudes 'HEAD' en mi servidor web access.log. ¿Para qué son estas peticiones? ¿Debo deshabilitar este método en mis configuraciones de servidor web?     
hecha 09.07.2014 - 20:53
5
respuestas

¿Cuál es la diferencia entre usar HSTS y hacer una redirección 301?

Si ya hice una redirección 301 de todas las páginas internas HTTP a HTTPS, ¿por qué debería usar HSTS también?     
hecha 06.07.2016 - 00:12
9
respuestas

¿Es una mala práctica usar el método GET como nombre de usuario / contraseña de inicio de sesión para los administradores?

Trabajo en aplicaciones web y, como saben, tener un panel de administradores es una necesidad en la mayoría de los casos. Podemos ver que muchas aplicaciones web tienen una página de inicio de sesión específica para administradores en la que hay...
hecha 04.01.2017 - 03:44