Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Recursos de prueba de penetración de aplicaciones web? [duplicar]

Estoy muy interesado en las pruebas de penetración de aplicaciones web. Revisé todos los buenos videos de Youtube sobre ese tema y la mayoría de los libros. Estoy leyendo Web enredada en este momento. Gracias a esos recursos, he reportado...
hecha 31.07.2012 - 18:18
1
respuesta

¿Se podría considerar una CSRF una solicitud enviada por un ataque XSS en un módulo de cambio de contraseña?

Mi compañero estaba probando una aplicación web y encontró una vulnerabilidad XSS en un módulo de cambio de contraseña, este módulo coloca la contraseña antigua en un campo oculto, entonces es posible usar un ataque XSS para cambiar la contraseñ...
hecha 17.03.2017 - 22:57
2
respuestas

Integridad de WebSocket seguro

Estoy usando una conexión WebSocket segura ( wss://... ) para la transferencia de datos hacia y desde una aplicación de una sola página. Una vez que un cliente se haya autenticado, debería pasar algún tipo de token de autenticación con...
hecha 28.07.2017 - 15:27
3
respuestas

¿Cuál es el daño real en la lista de directorios abiertos? ¿Qué puede hacer un atacante aquí?

Hay ocasiones en que los directorios se dejan públicamente accesibles de manera intencional. ¿Qué hay de malo aquí? ¿Cómo es esto incluso considerado un defecto? Sé que puede divulgar información confidencial desde el servidor, ¿por qué a vec...
hecha 14.06.2018 - 20:24
3
respuestas

Cuando un usuario intenta registrarse con un correo electrónico no activado otra vez, ¿debo decirle al usuario que no se han activado los correos electrónicos?

Supongamos que mi sitio necesita registrarse para obtener una cuenta de miembro con correo electrónico, y el correo electrónico debe ser verificado y activado. Les prohíbo a los usuarios registrarse con el mismo correo electrónico dos veces. Cua...
hecha 19.06.2018 - 03:39
1
respuesta

owasp top 10 2017 automatización

Estoy trabajando en la automatización de la seguridad: revisando la aplicación web en busca de las 10 vulnerabilidades principales de OWASP. Me gustaría verificar los respectivos description , CWE-IDs , etc. y tomar decisiones automá...
hecha 19.06.2018 - 11:51
2
respuestas

¿Por qué nunca querría la protección CSRF?

Si bien puedo ver algunos de los gastos generales de la protección CSRF (generación de token, validación de token, trabajo adicional a implementar), no veo ninguna razón por la que no lo desee . ¿Hay algún caso en el que la protección CSRF...
hecha 29.07.2016 - 13:27
1
respuesta

Almacenamiento de contraseñas en la configuración del servidor

Tengo una aplicación web. Mi aplicación web necesita acceso a otras aplicaciones, como MySQL. Para que mi aplicación web pueda acceder a MySQL, debo proporcionarle un nombre de usuario / contraseña. ¿Cuáles son las mejores prácticas para alma...
hecha 26.11.2016 - 23:05
1
respuesta

¿Debería cada sitio web o aplicación web tener una Política de divulgación responsable y cuáles son los inconvenientes de tener dicha política?

El Centro Nacional de Seguridad Cibernética de Holanda, NCSC * (hija del Ministerio de Seguridad y Justicia) ) publicó un artículo de noticias * con respecto a una Guía de divulgación responsable a principios de 2013. El directriz *...
hecha 23.06.2016 - 08:34
1
respuesta

¿Qué consideraciones de seguridad debo tener en cuenta al configurar la automatización del hogar con IFTTT?

Mi próximo proyecto personal será configurar algunos sistemas domóticos básicos para mis padres (no muy expertos en tecnología, pero tienen potencial para aprender). Esto implica cierto control del termostato, la iluminación y la notificación....
hecha 05.07.2016 - 09:52