Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

inyección de comando PHP create_function eval

Estaba leyendo sobre create_function , que se DEPRECTA en PHP 7.2, que es propenso a la inyección de comandos php. Comencé a jugar con él y creé un ejemplo. El código a continuación debe devolver la versión en minúscula de cada cadena en la...
hecha 22.08.2018 - 02:10
1
respuesta

¿Estoy a salvo de XSS en Reaccionar siempre y cuando no use peligrosamente Configurar InnerHTML?

Digamos que escribo una aplicación web utilizando React solamente, sin tocar el DOM directamente. Nunca uso dangerouslySetInnerHTML . ¿Todavía tengo que preocuparme por XSS? O en otras palabras, ¿existen otros usos inseguros de React? S...
hecha 27.08.2018 - 19:01
1
respuesta

Protegiendo al usuario del acceso no autorizado

Por lo tanto, estamos planeando agregar una función a nuestra aplicación que sea similar a lo que hace Google, pero un poco más estricta: Tiene una lista de sesiones vinculadas a un agente de usuario y una dirección IP (?) (Google muestra un...
hecha 15.05.2018 - 00:16
1
respuesta

Evaluar la seguridad de un script de terceros

Estoy investigando sobre las herramientas de terceros para usar en un proyecto, y no he encontrado ninguna evidencia concluyente sobre esto: ¿Es mejor * incluir scripts de terceros con una etiqueta <script> o alojarlos localment...
hecha 06.03.2018 - 06:08
1
respuesta

Algo golpea autodiscover / autodiscover.json en mi aplicación web

Ejecutamos una aplicación B2B multiusuario en Azure. Cada inquilino tiene un subdominio en tennant1.example.com , tenant2.example.com , etc. Solo la página de inicio de sesión está disponible para un mundo, todo lo demás de la aplica...
hecha 20.03.2018 - 11:04
2
respuestas

Almacenamiento de paquetes de certificados (archivos .pfx)

En una aplicación implementada en múltiples entornos (por ejemplo, Test / Prod), ¿cuál es una buena práctica para almacenar el paquete de certificado específico del entorno (archivo .pfx)? Es la contraseña que protege el archivo .pfx y lo alm...
hecha 28.03.2018 - 23:16
1
respuesta

¿Qué se puede hacer con Blind SSRF?

Sé que SSRF se puede explotar con el protocolo file:// para leer archivos locales (algo así como recorrido de ruta) y también escanear puertos de hosts desde la misma red que el servidor web. Pero, ¿cómo se puede explotar la SSRF ciega?...
hecha 01.04.2018 - 23:46
2
respuestas

Para sitios de carga de usuarios no confiables: ¿cuál debería ser el contenido de crossdomain.xml y clientaccesspolicy.xml?

Flash tiene un largo historial de ignorar los tipos de archivos MIME y leer el archivo directamente para contenido ejecutable o permisos de ejecución entre dominios. Eso significa que un usuario malintencionado puede aprovechar esto para crear f...
hecha 05.03.2012 - 01:18
1
respuesta

Restricción de IP de Tomcat frente a OAuth de dos patas

Tenemos una API del lado del servidor que está completamente basada en REST. Estamos codificando para asegurarlos con dos tipos de autenticación de tipo oAuth. Planeamos aplicaciones de iPhone y Android en el futuro, pero por ahora, tenemos una...
hecha 19.02.2012 - 18:08
3
respuestas

Explotación de XSS en el nombre de archivo sin usar /

Estoy intentando explotar una vulnerabilidad en el campo de nombre de archivo de una carga de archivo. La aplicación web no valida correctamente el nombre de archivo del archivo cargado y, como resultado, existe una vulnerabilidad almacenada de...
hecha 19.04.2018 - 18:40