Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

¿Debo restringir el origen en una aplicación API?

Tengo una aplicación que sirve una API de descanso y una interfaz de usuario angular para ella. Los clientes pueden usar la API directamente o usar la interfaz de usuario (si el cliente es un humano). La aplicación debe devolver encabezados e...
hecha 13.01.2017 - 21:57
2
respuestas

¿Cómo deben distribuirse las contraseñas múltiples administradas centralmente y generadas por el sistema de manera segura (si las hay)?

En un sistema donde un solo usuario administrador es responsable de la creación de múltiples (hasta 500) cuentas de usuario, incluidas las contraseñas y estas cuentas de usuario no tienen una dirección de correo electrónico asociada. ¿Cómo abord...
hecha 28.11.2017 - 14:12
1
respuesta

SSN de texto sin formato en la página: ¿Debo preocuparme?

Acabo de registrarme con un proveedor seleccionado por el empleador para Recursos Humanos / Depósito Directo. A medida que pasaba por el proceso de registro, vi que mi SSN se mostraba en texto sin formato. Al ver que tienen que pagarme, no lo...
hecha 20.12.2017 - 16:59
2
respuestas

Explotación manual de inyección ciega de SQL en la instrucción SELECT en el encabezado X-Forwarded-For

Tengo dificultades para explotar esta vulnerabilidad en el siguiente código: <?php ini_set('display_errors', 0); define("INDEX", 1); include '../db.php'; if(isset($_SERVER['HTTP_X_FORWARDED_FOR']) && !empty($_SERVER['HTTP_X_FORWAR...
hecha 26.05.2017 - 08:52
1
respuesta

Omita el modo seguro en PHP

Estoy haciendo pruebas de penetración en un sitio web ficticio. En este sitio web pude cargar un shell de PHP, pero tengo dos problemas: el modo seguro de PHP está habilitado Solo tengo privilegios bajos ¿Hay algún método con el que pue...
hecha 14.02.2017 - 11:21
2
respuestas

¿La aplicación HTML5 puede acceder al historial de navegación?

Espero que este sea el lugar correcto para hacer esta pregunta. Actualmente estoy discutiendo con un colega si es posible obtener el historial de navegación de un visitante de mi sitio con una aplicación HTML5 especial. Supongamos que el usua...
hecha 18.02.2017 - 16:12
1
respuesta

¿Es seguro mi sistema de autenticación sin contraseña (enlace mágico OTPW)? [duplicar]

He implementado un sistema de autenticación sin contraseña (donde los usuarios solo inician sesión con un "enlace mágico" enviado a su correo electrónico) por mi cuenta. Sé que diseñar sistemas de seguridad sin experiencia es realmente malo, a...
hecha 18.12.2016 - 06:20
1
respuesta

Sobrescribir el archivo en el caché del navegador

Me enteré de un incidente de seguridad en el que alguien colocó accidentalmente información confidencial dentro de un archivo JSON en caché. Me preguntaba, para el propósito de la contención, cuál es la mejor manera de obligar a los clientes a s...
hecha 12.12.2016 - 21:27
1
respuesta

¿El almacenamiento de datos de sesión en la DMZ está bien en una aplicación web empresarial de n niveles?

Supongamos que tengo una aplicación web estándar de varios niveles con servidores web en la DMZ y varios servicios a los que solo se puede acceder desde una aplicación web autenticada. Supongamos también que la aplicación web utiliza sesiones de...
hecha 18.12.2016 - 14:41
1
respuesta

¿Está bien mantener los archivos .zip en la carpeta public_html? [duplicar]

El sitio web de mi empresa solo toma copias de la carpeta html pública y guarda los archivos zip como copia de seguridad en la misma carpeta. Quiero saber si esto es seguro o no. Porque otras personas no saben el nombre del archivo zip. ¿Hay a...
hecha 03.12.2016 - 05:55