Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Implementando la verificación de 2 pasos por correo electrónico para aplicaciones web?

Estaba pensando en aplicar la verificación de 2 pasos a mis aplicaciones web que funcionará de manera similar a la verificación de 2 pasos de SMS / voz de Gmail, excepto que mi aplicación web solo enviará un correo electrónico con el código de v...
hecha 19.04.2012 - 20:47
1
respuesta

¿Se garantiza que una cadena aleatoria en una cookie y un encabezado sean lo mismo para proteger contra XSRF?

En un esquema de cookie-to-header para enviar los tokens xsrf / csrf , el servidor establece un número pseudoaleatorio criptográficamente seguro como una cookie en la máquina del cliente. Se espera que el código de script java en la máquina cl...
hecha 29.10.2017 - 01:52
1
respuesta

¿Es posible la inyección del encabezado de host sin caché o restablecimiento de contraseña?

Soy un principiante en seguridad y leo sobre la inyección de encabezado de host. Probé una aplicación para esta vulnerabilidad y es posible que exista alguna solicitud, pero el desarrollador implementó indicadores de no-cache, no-store y esta vu...
hecha 20.12.2017 - 07:03
2
respuestas

¿Está representando una transacción de tarjeta de crédito?

Digamos que hay un servicio que procesa una tarjeta de crédito, el servicio X. Quiero crear un nuevo servicio (Y) que tiene un formulario que refleja los campos del servicio X. Uso las credenciales ingresadas en el servicio Y y Pídales al servic...
hecha 14.12.2012 - 19:13
1
respuesta

Diseñar un sistema de información seguro

¿Podría alguien brindarme alguna orientación para un sistema que estoy diseñando ... Una descripción general del sistema es que es para almacenar información sobre el personal y los "clientes". ¡Esta información debe ser completamente segura...
hecha 12.06.2013 - 10:01
2
respuestas

Permitiendo que el usuario acceda a un sitio web protegido por contraseña sin revelar la contraseña

Un amigo mío tiene el siguiente problema. Ella es contadora y sus clientes con frecuencia le dan sus credenciales de inicio de sesión para que pueda descargar sus datos contables de los sitios web de varias instituciones financieras. También tie...
hecha 18.06.2013 - 21:30
1
respuesta

strstr y fopen, ¿hay un bypass?

Tengo un binario que hace esto: if (strstr(USERCONTROLLERSTRING, "..")) exit; fopen(CurrentPath+"\Data\"+USERCONTROLLEDSTRING, "r"); luego escupe todo el contenido del archivo. ¿Hay alguna vulnerabilidad obvia aquí? Es un servicio de Win...
hecha 18.07.2018 - 15:54
1
respuesta

Cómo usar macros Burp para pasar parámetros al intruso

Mi problema es que estoy intentando distorsionar un inicio de sesión de 2 etapas para una aplicación web personalizada. Lo que debo hacer es obtener la página inicial, que me proporcionará un token anti-csrf y un ID de sesión. Desde allí P...
hecha 27.09.2017 - 05:36
2
respuestas

¿Restrinja el acceso a la aplicación web REST a computadoras autorizadas?

He desarrollado una aplicación web REST. El cliente solo quiere que las computadoras autorizadas accedan a la aplicación. Hemos optado por la implementación TLS bidireccional en la que el cliente aprueba o rechaza las solicitudes de certificado....
hecha 15.11.2016 - 15:57
1
respuesta

¿Cómo verificar si NTLM v2 o v1 se usa para la autenticación?

¿Qué herramienta debo usar para verificar qué autenticación NTLM se usa? Considere el hecho de que soy un usuario de la aplicación web y no el propietario. ¿Existe algún problema de seguridad si un sitio utiliza la autenticación NTLM en compa...
hecha 11.07.2016 - 15:13