Preguntas con etiqueta 'rest'

preguntas con etiqueta
3
respuestas

Enviando el nombre de la base de datos en los encabezados de solicitud

Estoy haciendo un proyecto con una arquitectura de servidor único y base de datos múltiple. Cada solicitud de cliente contendrá un encabezado que contenga el nombre de la base de datos que esta solicitud debe conectar. ¿Es esta una buena idea pa...
hecha 27.04.2015 - 12:40
0
respuestas

Impedir el acceso a mi API REST pública desde mi aplicación de cliente de confianza

Tengo un conjunto de API REST y algunas de ellas no requieren que los usuarios estén autenticados. El ejemplo podría ser: api/items/index de un comercio electrónico ". Actualmente, utilizo tokens basados en cookies de mi aplicación, p...
hecha 12.03.2014 - 11:00
1
respuesta

Temperado de verbos HTTP utilizando las posibilidades de ataque MITM y prevención en la api de descanso

El temperado de verbos HTTP utilizando las posibilidades de ataque MITM y la prevención en la api de descanso. Si la URL de una aplicación depende solo del método http para determinar su acción, ¿cómo podemos reducir el impacto del temple por...
hecha 27.06.2017 - 10:16
2
respuestas

Generando par de llaves RSA (seguridad / rendimiento) en el servicio REST

Hay un servicio de API REST. Un punto final es responsable de la creación de cuentas de usuario. Se supone que cada usuario debe tener un par de claves RSA generado y almacenado en un servidor. Para evitar que las claves privadas sean leídas por...
hecha 20.06.2017 - 13:49
1
respuesta

Hacer cumplir HTTPS solo con la API REST

Estoy desarrollando una API REST que puede incluir información privada. Para hacerlo seguro, quiero que solo se pueda acceder a la API mediante HTTPS. Básicamente, ¿cuál es la mejor manera de hacer cumplir HTTPS? Aquí hay algunas cosas en las...
hecha 01.08.2017 - 18:43
1
respuesta

¿Una WebView de Android maliciosa rompe la contramedida DoubleSubmittCookie contra CSRF?

Situación inicial: Un servicio web RESTful se defiende contra los ataques CSRF utilizando el método de envío doble de cookies. Esto significa que el token de autenticación se envía dos veces y se verifica en el lado del servicio. Proble...
hecha 14.10.2013 - 01:43
1
respuesta

Un enfoque de no inicio de sesión para autenticar un dispositivo determinado, ¿la dirección MAC como contraseña?

He creado una API REST, y ahora estoy pensando en la autenticación. Quiero que el flujo de la aplicación móvil para el usuario sea muy simple: solo tendrá que ingresar un nombre de usuario y luego este nombre de usuario junto con 'alguna contras...
hecha 11.07.2014 - 12:39
1
respuesta

¿Qué son todos los casos / vulnerabilidades de prueba que debemos probar en la prueba REST API Pen?

Estoy aprendiendo las pruebas de pluma de la API y busco recursos que ofrezcan una lista clara de los casos de prueba que debemos verificar al realizar una prueba de la pluma en la API REST. He revisado los recursos de OWASP API Cheat_sheet...
hecha 27.11.2018 - 05:49
2
respuestas

¿Cómo puedo asegurar un servicio REST destinado a ser utilizado por los clientes de mis clientes a través de su sitio web público?

Estoy desarrollando un servicio con una API REST asociada para el uso de los clientes (empresas que tienen sus propios sitios web). En otras palabras, uno de mis clientes normalmente realiza la llamada REST directamente desde su sitio web (es de...
hecha 15.10.2018 - 19:36
1
respuesta

Usar la contraseña con hash como clave secreta para hmac para evitar el intercambio de secretos entre el servidor y el cliente

Actualmente estoy intentando mejorar nuestra API para que sea más tranquila, por lo tanto, evito cualquier estado en el servidor. Quiero lograr esto con un token hmac, que se adjunta en cada solicitud. El hmac se realizará con la siguiente parte...
hecha 24.06.2014 - 15:56