Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

Obtener un cuadro de alerta en JS sin usar alerta ()

Esta es una vulnerabilidad XSS que he encontrado en un sitio de práctica. Entonces, necesito crear un alert() emergente, pero alert() se cambia a prompt() por otro script cargado antes de dar cualquier entrada. (Así q...
hecha 01.06.2018 - 06:22
1
respuesta

Obtención del token CSRF

Como he leído acerca de los tokens CSRF, el servidor generalmente incrusta el token CSRF en el formulario en una etiqueta oculta. De esa manera, al enviar el formulario como una solicitud POST, el token CSRF se puede enviar y recibir en el servi...
hecha 07.06.2018 - 09:22
1
respuesta

Seguridad de activos / medios en s3

Tengo mi solicitud escrita en Flask (Python 3.6) y ejecutada en EB. Necesito implementar un editor de contenido que permita cargar archivos en el servidor y me gustaría almacenarlos en s3. La mayoría de los archivos cargados estarán disponibl...
hecha 04.10.2017 - 06:05
2
respuestas

¿Es seguro establecer el valor del encabezado "Access Control Allow Origin" en el valor del encabezado "Origin" que está configurado implícitamente por el navegador?

Estaba probando un sitio web y noté que al cambiar el valor del encabezado "Origen" de una solicitud con una aplicación proxy interceptora, la aplicación web envía una respuesta con el "Valor permitido permitir origen de control" configurado al...
hecha 13.10.2017 - 06:50
2
respuestas

Reflected XSS solo funciona a través de Burp Repeater debido a la codificación de URL

Puedo obtener XSS reflejado a través del repetidor de eructos usando una solicitud GET. Luego hago clic en mostrar respuesta en el navegador y puedo recibir una alerta XSS. ¡Pero cuando voy manualmente a la URL en mi navegador, la carga útil no...
hecha 09.02.2018 - 19:39
1
respuesta

Con HTTPS, ¿puedo saber el dominio del cliente para la autenticación con mi API

Me está costando mucho encontrar el mejor título para esta pregunta, pero déjame explicarte mi situación: Tengo una aplicación de sala de chat como servicio similar a Intercom. Cualquiera puede cargar el chat en un iframe y mostrarlo en su si...
hecha 05.05.2017 - 22:20
2
respuestas

Importancia de un corto tiempo de caducidad en JWTs

Actualmente estamos utilizando tokens web JSON para la autenticación de la API de nuestro sitio web. Usamos tokens de acceso de corta duración de 1 hora que se actualizan con un token de actualización revocable permanente. Ahora queremos agrega...
hecha 18.02.2018 - 20:24
3
respuestas

falsificando un GUID

En el trabajo de hoy, tuve una discusión sobre la identificación de un usuario entre dos servidores web que tendrán acceso al mismo DB backend. Sugerí usar un GUID para identificar la sesión de usuario , pero un colega dijo que los GUID pueden...
hecha 21.04.2017 - 17:00
1
respuesta

¿Por qué alguien enviaría cargas de direcciones de correo electrónico a un formulario que no hace nada?

Opero un sitio web de generación de leads simple para un amigo, que consta de una sola página con un formulario HTML con un solo campo: dirección de correo electrónico. Estamos obteniendo un número inesperado de POST a la URL de acción del fo...
hecha 28.07.2017 - 10:28
4
respuestas

¿Cómo se debe asegurar la conexión entre un servidor alojado y una base de datos?

A medida que me informo sobre la seguridad de la aplicación web, el foco parece estar en las conexiones entre el cliente y el servidor de la aplicación. Para ilustrar, la inyección de SQL y los certificados SSL me parecen a mí principalmente pre...
hecha 26.03.2017 - 02:53