Preguntas con etiqueta 'http'

preguntas con etiqueta
1
respuesta

Cómo forjar el encabezado de referencia en el método GET activado en HTML

Estoy analizando las vulnerabilidades CSRF de la DVWA. Me encuentro con el nivel medio que utiliza este fragmento de código para validar si el encabezado referer es igual al nombre del servidor: if( eregi( $_SERVER[ 'SERVER_NAME' ],...
hecha 04.11.2017 - 17:40
1
respuesta

Para evitar BREACH, ¿podemos usar gzip en respuestas que no sean de token?

Trabajo en un sitio que tiene una interfaz web y una API. Estoy tratando de determinar si podemos usar gzip de forma segura, o si eso nos abrirá a BREACH . El sitio dice:    Si tiene un cuerpo de respuesta HTTP que cumple todos las sigu...
hecha 31.10.2017 - 20:00
1
respuesta

¿Qué tan seguro está mi sistema para restablecer la contraseña?

Estoy usando mi servidor Parse personalizado con Heroku, por lo que estoy bastante seguro (99%) de que es bastante seguro usar cosas como oAuth2 y contraseñas de hash de 1 vía. El problema es que estoy intentando implementar mi propio restab...
hecha 28.04.2016 - 14:31
1
respuesta

¿Cómo protege la política del mismo origen contra PUT / DELETE CSRF?

He leído la guía OWASP para falsificación de solicitudes entre sitios y dice que "otra Los métodos HTTP ", como PUT y DELETE, podrían utilizarse teóricamente para CSRF. Sin embargo, con la misma política de origen, estas solicitudes no se e...
hecha 05.04.2016 - 18:09
1
respuesta

Herramienta Slow Loris de RSnake

Estaba viendo la implementación de RSnakes de su Slow Loris hecha en perl que se puede ver aquí . Configuré un pequeño servidor para escuchar sus paquetes, y al principio encontré esto GET / HTTP/1.1\r\nHost: David-PC\r\nUser-Agent: Mozilla/4...
hecha 18.04.2015 - 08:04
2
respuestas

Me están siguiendo en la web. Explicaciones para el comportamiento misterioso.

¿Me están acosando? Hace poco estaba haciendo algunas secuencias de comandos de desarrollo de Python básicas. Python tiene una buena característica donde puede ejecutar un servidor HTTP simple que sirve los contenidos del directorio local,...
hecha 02.05.2013 - 21:58
1
respuesta

¿De qué manera un javascript que realiza una solicitud HEAD entre dominios puede ser una amenaza?

Acabo de leer esta respuesta a la pregunta ¿Por qué es tan importante la misma política de origen?    Básicamente, cuando intentas hacer un XMLHttpRequest a otro   dominio, el navegador hará una de dos cosas:       Si se trata de una s...
hecha 26.07.2013 - 10:19
3
respuestas

Analizar todos los archivos posibles en el servidor (nombres de archivo de fuerza bruta)

Estoy buscando una herramienta que pueda escanear todas las combinaciones de nombres de archivo posibles en un servidor y te dice a qué archivos respondía el servidor. Entonces intentaría algo como: example.com/a , example.com/b ,...
hecha 15.01.2015 - 16:21
3
respuestas

¿Las páginas de inicio de sesión deben ser cacheables?

Estoy considerando las ventajas / desventajas relativas de hacer que una página de inicio de sesión sea guardada en caché. Tenga en cuenta que aquí me refiero a la página que contiene el formulario en el que el usuario ingresa su nombre de usuar...
hecha 28.01.2014 - 11:55
1
respuesta

¿Podrían bloquearse las redirecciones de HTTPS a HTTP en el futuro? [cerrado]

Varias respuestas en este sitio (por ejemplo, 76305 ) sugieren que las redirecciones de HTTPS 30x a HTTP no son una gran idea pero que el patrón es generalizado. En cuanto a las opciones que ha tomado el equipo de Chrome, está claro que cons...
hecha 10.10.2016 - 17:40