Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

¿Debo exponer el código de estado HTTP 500 en una aplicación REST?

En mi aplicación Spring MVC 3, estoy siguiendo los patrones REST y mucha lógica se basa en los códigos de estado HTTP. Por ejemplo, 500 define un error de servidor. Pero OWASP modsecurity dice que no debe exponer este código de estado. No e...
hecha 04.10.2016 - 05:07
1
respuesta

Capturando (solo 1x) Solicitud POST HTTP [tcpdump]

De vez en cuando; Me gusta encender tcpdump y simplemente observar el tráfico de la red a medida que los paquetes fluyen. Por ejemplo: user@host:~$ sudo tcpdump -Aevvv Se analizará & imprima todo el tráfico de la red local...
hecha 20.09.2015 - 04:50
1
respuesta

¿Problemas de navegación del botón Atrás debido al token CSRF?

Tengo una aplicación web heredada y necesito protegerla de CSRF. Intenté resolver el problema sin comprometer la funcionalidad de la aplicación, pero tuve problemas relacionados con la navegación. ¿La generación de token y su almacenamiento e...
hecha 26.03.2016 - 17:13
1
respuesta

Firmando mensajes del foro web

Mantengo el software del foro web, al que se puede acceder mediante NNTP y correo electrónico (como listas de correo). Dado que el diseño NNTP permite a cualquier persona falsificar su dirección de correo electrónico, se puede utilizar la firma...
hecha 24.03.2016 - 03:42
3
respuestas

¿Dónde encontrar información sobre el historial de vulnerabilidades de las aplicaciones web? [cerrado]

Existen muchas vulnerabilidades de aplicaciones web, como XSS, CSRF, etc., y hay muchos recursos que las explican muy bien. Pero quiero averiguar sobre su historia, por ejemplo, quién fue el primero en descubrirlos [Seguramente, no fue una sola...
hecha 19.03.2016 - 22:47
3
respuestas

Metodología de prueba de penetración de aplicaciones web

Estoy siguiendo un curso en el que el capacitador recomienda identificar todas las vulnerabilidades que afectan a una aplicación web antes de intentar explotarlas. Si bien entiendo la necesidad de identificar todas las vulnerabilidades, no enti...
hecha 11.06.2016 - 02:50
2
respuestas

¿Cómo sé que el malware en la computadora cliente no modifica los datos transmitidos a mi aplicación web?

Estoy trabajando en una aplicación web y he tenido una idea de una nueva función que me gustaría agregar. La función incluye obtener datos del usuario en su sistema abierto y recibirlos en mi servidor. En aras del concepto, asumo que mi servidor...
hecha 19.05.2016 - 17:35
2
respuestas

mi prevención de fuerza bruta tiene desventajas importantes, ¿alguna idea?

Actualmente estoy buscando la mejor manera de evitar los ataques de fuerza bruta en el portal web de mi software y se me ocurrió la siguiente idea: 3 intentos de inicio de sesión sin ningún desafío visual después de 3 intentos fallidos, mu...
hecha 12.10.2015 - 08:47
3
respuestas

entrenamiento de codificación de seguridad el mejor enfoque

Para capacitar al equipo de desarrollo, hay varias opciones que se pueden tomar: presentación interna con ejemplos de código, CBT para que los desarrolladores lo hagan en su mejor momento, cursos en el sitio o en la planta (costosos) dirigidos p...
hecha 09.01.2015 - 23:00
3
respuestas

¿Es importante que el nivel intermedio de una aplicación web use un protocolo de comunicación diferente?

Al crear una aplicación web de n niveles / capas en la que cada nivel está físicamente separado de los demás, ¿es importante que una pila de comunicación diferente sea utilizada por los niveles de fondo (que no están expuestos a Internet)? que e...
hecha 29.01.2015 - 15:57