Preguntas con etiqueta 'owasp-top-ten'

preguntas con etiqueta
1
respuesta

¿Un CSRF no autenticado sigue siendo un CSRF?

OWASP define falsificación de solicitudes entre sitios (CSRF) como    un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una web   aplicación en la que se autentican actualmente . (énfasis mío) Un ejemplo de...
hecha 22.04.2017 - 13:01
7
respuestas

¿Los acortadores de URL son "vulnerables" debido a los redireccionamientos abiertos?

El estado OWASP indica que open redirect es una vulnerabilidad :    Una redirección abierta es una aplicación que toma un parámetro y   redirige un usuario al valor del parámetro sin ninguna validación . Esta   La vulnerabilidad se utiliz...
hecha 06.06.2014 - 18:11
2
respuestas

¿Qué vulnerabilidades en el Top 10 de OWASP son relevantes para WordPress?

He estado viendo el Top 10 de OWASP, y me pregunto cuál de los 10 riesgos de seguridad principales son relevantes para una instalación de WordPress con varios complementos instalados. Sé que las inyecciones y el XSS son relevantes, pero ¿qué...
hecha 30.01.2013 - 10:00
2
respuestas

¿Por qué la protección insuficiente contra ataques es una amenaza / riesgo definitivo para una organización?

Recientemente, OWASP introdujo dos nuevas series de categorías a partir de 2017, en abril: a OWASP Top 10 : Protección de ataque insuficiente API no protegidas Entiendo, las API no protegidas tienen un riesgo inmediato que implica prob...
hecha 12.04.2017 - 07:43
1
respuesta

¿Cómo clasifica OWASP los 10 riesgos principales?

Estaba leyendo artículos sobre OWASP A2 (2017) y el cuadro comparativo que se encuentra a continuación. Una cosa que noté fue que la "Administración de sesión y cuenta rota" ha cambiado de lugar con los años: En 2003 y 2004 fue A3 . En 20...
hecha 01.11.2017 - 08:35
3
respuestas

Decidir el parámetro de alcance CVSS v3 para algunas de las 10 principales vulnerabilidades de OWASP

Estoy tratando de obtener un puntaje en el top 10 en cvss v3 y tengo dificultades para asignar el parámetro "alcance" para algunos. Por favor, corrija la siguiente lista si hay algunas fallas. Inyección SQL: modificado. Componente vulnerab...
hecha 05.07.2016 - 14:28
2
respuestas

¿Cómo clasificar las vulnerabilidades de la web en un informe?

¿Cuál es una buena manera de categorizar las vulnerabilidades en los informes de seguridad de TI? Suponiendo que se trata de entornos basados en web como: sitios web, aplicaciones web, Tiendas web, Cualquier interfaz que use tecnología...
hecha 19.06.2016 - 00:40
1
respuesta

¿Qué vulnerabilidades distintas del recorrido del directorio están bajo IDOR?

La vulnerabilidad más común en la categoría OWASP Referencia de objeto directa insegura es de directorio transversal. ¿Cuáles son las otras vulnerabilidades que entran en esta categoría?     
hecha 07.01.2017 - 08:11
1
respuesta

¿Tipos de ataques fuera de AppSec y sistemas específicos de proveedores?

Estoy leyendo sobre el Top 10 de OWASP para ayudarme a defender mi aplicación web contra ataques comunes del tipo "app sec" (Inyección de SQL, CSRF, etc.). Y en una pregunta reciente se me pidió que no solo use OWASP Top 10 para appsec vulns,...
hecha 02.07.2012 - 14:49
3
respuestas

¿Prueba para OWASP usando componentes con vulnerabilidades conocidas?

Estoy tratando de pensar cómo probaré una aplicación para OWASP "Uso de componentes con vulnerabilidades conocidas" . Si mi entendimiento es correcto, esto se relaciona mucho con las bibliotecas / módulos desactualizados, pero si uno está pe...
hecha 16.05.2018 - 15:17