Preguntas con etiqueta 'rest'

preguntas con etiqueta
2
respuestas

¿Es seguro omitir las comprobaciones CSRF para no navegadores?

Estaba implementando un mecanismo de protección CSRF para mi servidor cuando me di cuenta de que este ataque solo afecta realmente a los navegadores web. Me pregunto: ¿por qué debería molestarme en generar / validar tokens CSRF para clientes que...
hecha 27.06.2014 - 06:10
1
respuesta

Asegurando la API REST para uso móvil con OAuth

Soy un completo noob de la seguridad, así que perdóname si digo algo incorrecto. Tengo que desarrollar una red social. El cliente será una aplicación de Android y (probablemente) una página web para teléfonos inteligentes que utilizará una AP...
hecha 30.10.2013 - 12:25
1
respuesta

¿Cómo autenticar mejor un cliente de escritorio con un backend escalable a través del servicio SOAP / REST?

Estoy tratando de encontrar una arquitectura sólida para autenticar usuarios en una base de datos. Tengo un cliente de juegos, con el que planeo atender una solicitud. El transporte realmente no importa, pero en este momento estoy pensando en ht...
hecha 19.01.2012 - 04:47
0
respuestas

Bloom filtro para evitar ataques de reproducción en solicitudes HTTP firmadas

Estoy pensando en un esquema de autenticación de una API REST en una configuración donde la única cosa que el servidor almacena acerca de un cliente, es su clave pública (el esquema de cifrado asimétrico no debería importar). Así que he ideado u...
hecha 08.09.2018 - 13:14
3
respuestas

¿Debo usar protección CSRF en los puntos finales de la API Rest?

Nota rápida: este no es un duplicado de protección CSRF con encabezados personalizados (y sin el token de validación) a pesar de algunos solapamientos. Esa publicación explica cómo realizar la protección CSRF en los puntos finales de descans...
hecha 03.08.2017 - 20:41
0
respuestas

Restringir API pública para acceder desde una aplicación única

Tengo una API REST en un servidor y una aplicación para teléfonos Android que, en su mayoría, realiza llamadas a esa API y presenta la información al usuario. Debido a que la aplicación debe ser una forma rápida de buscar información pública,...
hecha 21.05.2018 - 22:27
0
respuestas

Utilizando burp-rest-api, ¿cómo inicio sesión en mi aplicación web para buscar vulnerabilidades?

Estoy utilizando la API Burp desarrollada por VMWare ( enlace ) para intentar automatizar el escaneo de aplicaciones web para mi aplicacion Por ejemplo, si estuviera intentando probar el puerto 85 de localhost, el proceso sería el siguiente. #...
hecha 31.01.2018 - 17:08
1
respuesta

¿Qué tipo de hash usar para almacenar los tokens de la API REST en la base de datos?

Tenemos una API REST que se comunica con un front-end móvil. Después de enviar una contraseña de un solo uso, el backend emitirá un token (cadena UUID v4 aleatoria) para que la aplicación móvil la use como autenticación en las solicitudes poster...
hecha 14.02.2017 - 01:42
0
respuestas

Seguridad de las API REST expuestas públicamente

Estamos en un proceso para exponer algunos datos (no confidenciales) a través de las API REST. Nuestro consumidor de API solicitó lo mismo utilizando solo la autenticación de clave de API. No se requiere TLS de autenticación mutua, no hay OAuth,...
hecha 17.03.2018 - 11:54
1
respuesta

¿Por qué usar el token de actualización de oAuth2 es más seguro que regenerar un access_token?

Estoy implementando una autenticación de oAuth2 para asegurar mi API REST. Como estoy implementando oAuth2, necesito generar un access_token que me dará un acceso temporal a mis datos REST. Para hacerlo, simplemente envío una solicitud H...
hecha 04.05.2018 - 12:50