Preguntas con etiqueta 'rest'

preguntas con etiqueta
1
respuesta

Una alternativa simple y sin estado a la autenticación básica HTTP para API's

Muchas API (servicios) de hoy usan OAuth, autenticación básica HTTP o claves API para autenticar a sus usuarios. Mi objetivo es encontrar una forma simplista y segura para autenticar a los usuarios en una aplicación web del lado del clie...
hecha 20.06.2018 - 14:17
3
respuestas

vulnerabilidad de inyección de URL

Estoy ocupado con un pentest y encontré algo que me hizo preguntarme si sería explotable. Actualmente no soy capaz de explotarlo, pero quería asegurarme. También tengo curiosidad de por qué la aplicación / servidor se comporta como lo hace. E...
hecha 13.03.2017 - 16:32
2
respuestas

Lista blanca de la API REST CORS

Tengo una API REST. Quiero usar esta API desde múltiples aplicaciones web. Solo quiero permitir solicitudes de clientes en lista blanca. Mi primer punto de llamada sería agregar los encabezados necesarios al servidor web REST API (dominios permi...
hecha 13.09.2016 - 23:38
3
respuestas

Asegurar la llamada interna del servicio REST a través de JavaScipt

Tengo una aplicación pública de una sola página (SPA) que está llamando a mi servicio REST backend a través de JavaScript. ¿Cómo puedo asegurar el servicio REST para que solo acepte llamadas de mi SPA y no de otros clientes o usuarios? Básicamen...
hecha 22.03.2014 - 07:37
1
respuesta

Autenticación básica extendida

Me gustaría implementar una API REST con autenticación básica que se basa en el nombre de usuario y la contraseña. Debido a que REST no tiene estado, el usuario tendría que volver a ingresar el nombre de usuario y la contraseña para cada solicit...
hecha 03.08.2013 - 20:15
2
respuestas

Enumeración de datos confidenciales mediante códigos de error HTTP

Supongamos que hay un sitio web con una API que admite la siguiente llamada REST en la que el usuario autenticado Alice puede enviar un mensaje a Bob al usuario registrado que registró en nuestro sitio (hipotéticamente hablando, por el bien de e...
hecha 11.09.2018 - 12:57
1
respuesta

iframe basic auth o token security

Tenemos dos sitios, ambos son de confianza. En site1 almacenamos el nombre de usuario y la contraseña del usuario para site2. Hacemos llamadas a API en el backend de site1 a site2 a través de autenticación básica (todo sobre HTTPS). A...
hecha 27.07.2016 - 20:07
2
respuestas

¿Debo exponer el código de estado HTTP 500 en una aplicación REST?

En mi aplicación Spring MVC 3, estoy siguiendo los patrones REST y mucha lógica se basa en los códigos de estado HTTP. Por ejemplo, 500 define un error de servidor. Pero OWASP modsecurity dice que no debe exponer este código de estado. No e...
hecha 04.10.2016 - 07:07
1
respuesta

Solicitud de firma para la API REST

Estoy creando una API REST que recibirá solicitudes como: GET /api/entities GET /api/entities?filter=X&sort=Y Esto parece sencillo: tener el cliente HMAC (ruta + consulta, clave), enviarme un identificador de clave y HMAC en un encabeza...
hecha 21.05.2015 - 00:30
1
respuesta

¿Cómo almacenar contraseñas en un sitio web remoto?

Diga que quiero crear una API pública para acceder a un sitio web que no tenga una. El sitio web está protegido por un esquema de nombre de usuario / contraseña estándar y la implementación de la API utilizará el raspado para obtener los datos d...
hecha 29.12.2014 - 19:27