Preguntas con etiqueta 'rest'

preguntas con etiqueta
1
respuesta

Hash una clave de API secreta con un salt aleatorio en lugar de enviarlo solo en REST API

Supongamos que tengo un punto final de API https interno que solo uso el administrador. En cada solicitud, envío una clave secreta de API para la autenticación. Y estoy bien con esta solución. curl -x PUT ....... --header "X-My-Secret-Api-...
hecha 20.07.2018 - 06:00
1
respuesta

¿La mejor manera de asegurar el servidor REST local?

Actualmente tengo una frambuesa pi conectada a mi sistema de seguridad residencial. He escrito un demonio de Python ejecutando un servidor HTTP (muy inseguro, lo sé, pero aún está en construcción), por lo que puedo enviar solicitudes POST para a...
hecha 06.02.2018 - 02:00
1
respuesta

¿Cuál es la forma correcta de proteger la interfaz REST del robo de sesiones?

Supongamos que el atacante pudo inyectar JavaScript en el sitio web. Obviamente, puede hacer cualquier solicitud HTTP para back-end imitando las acciones del usuario, a menos que exista alguna confirmación, como el código SMS, que requiera la in...
hecha 27.09.2017 - 16:25
1
respuesta

Tokens web Json de corta duración (problema de comprensión de JWT)

Consideré utilizar JWT para mi REST-APi. El usuario debe iniciar sesión en / api / login con autenticación básica y recupera un JWT que se utiliza para futuras solicitudes. Al principio se planeó tener una vida útil muy larga para el token. A...
hecha 23.07.2017 - 09:21
2
respuestas

Qué hashing / encriptación usar para la cadena compartida públicamente que coincide con un código secreto

Estoy buscando la forma sin base de datos de cómo validar un código secreto que fue enviado al teléfono móvil del usuario mediante la aplicación web RESTful, en un proceso de autenticación de 2 factores. En el paso 1, el usuario proporciona e...
hecha 12.03.2017 - 16:18
3
respuestas

Enumeración de parámetros del método API a través del navegador web

Estoy obligado por contrato a evitar la enumeración de los parámetros de un método API pero no puedo lograrlo. Cuando envío una solicitud en blanco al servidor de API en un navegador web, el servidor responde con los parámetros exactos que re...
hecha 09.12.2015 - 11:52
1
respuesta

¿Los vectores de ataque SSL MITM para servidor a servidor HTTPS usando un certificado no confiable?

He notado que una gran cantidad de bibliotecas cliente HTTP del lado del servidor aceptan comunicaciones TLS no confiables de forma predeterminada. ¿Cuáles son los vectores de ataque obvios para MITMing una comunicación HTTPS de servidor a s...
hecha 24.02.2016 - 11:38
3
respuestas

Aplicación web de seguridad RESTful en Java

Estamos desarrollando dos aplicaciones web: Aplicación A: servicios web tranquilos que se ejecutan en un servidor GlassFish. Aplicación B: aplicación web dinámica que se ejecuta en un servidor Tomcat. Estoy accediendo a la Aplicació...
hecha 04.08.2015 - 13:58
1
respuesta

cURL y exposición a la autenticación personalizada de Rest API

Estoy desarrollando una API que está planeada para usar el modo de autenticación simple de usuario y contraseña. Tengo experiencia con solicitudes HTTP y tendía a pensar todo como una solicitud HTTP. Como el nombre de usuario y la contraseña...
hecha 12.02.2014 - 18:54
2
respuestas

¿Está mejorando el token de autenticación de la API REST sin estado o lo abandona por la persistencia de la base de datos?

Estoy buscando implementar la autenticación REST sin estado en una API. He estado leyendo sobre artículos aquí, y he implementado una idea que funciona, pero esperaba obtener alguna información sobre su seguridad y posibles mejoras. La aute...
hecha 05.10.2014 - 01:36