Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Lista de parámetros de solicitud GET sospechosa? [cerrado]

¿Hay una lista pública de parámetros de solicitudes GET sospechosas comunes? Me refiero a SQLi, inyección de comandos, acceso de administrador, etc. Estoy interesado en dicha lista, que se utilizará para detectar solicitudes GET sospechosas en S...
hecha 29.03.2015 - 10:22
1
respuesta

Evite la enumeración de fuerza bruta de clientes en una aplicación SaaS

Estoy involucrado en el desarrollo de una aplicación SaaS. Nosotros alojamos la aplicación para diferentes clientes. Un cliente es una empresa. Cada cliente obtiene acceso a su instancia alojada de la aplicación a través de una URL https://ex...
hecha 19.02.2015 - 07:53
2
respuestas

Seguridad de API basada en token sobre repetidas solicitudes de nombre de usuario / contraseña

¿Cuáles son los beneficios de seguridad sobre un modelo de seguridad API basado en token en lugar de enviar el nombre de usuario & contraseña cada vez? El proceso del enfoque basado en token es: Enviar una solicitud de 'inicio de sesi...
hecha 20.02.2017 - 10:26
3
respuestas

¿Está bien usar solo el nombre de usuario / contraseña para asegurar una página de administrador para moderar un sitio web?

¿Existe una práctica estándar para asegurar una página de administración para una aplicación escrita en angular y nodejs o simplemente en general? La página de administración aprobaría / prohibiría a los usuarios y moderaría los comentarios....
hecha 11.03.2015 - 19:26
1
respuesta

¿Cuáles son las formas más comunes de diseñar el proceso de verificación de los tokens de acceso entre el servidor de autenticación y el recurso utilizando OAUTH 2.0?

Estoy tratando de construir una aplicación web dividida en un grupo de microservicios y cada microservicio es un servidor de recursos. También tengo un servidor de autenticación separado. Me pregunto cuál de los siguientes enfoques es mejor o...
hecha 16.10.2015 - 20:29
1
respuesta

Ajustes relacionados con la ejecución de javascript en el navegador

Supongamos que un filtro valida la url, pero no el protocolo. En ese caso, puedo XSS ese campo con la siguiente carga útil javascript://%0D%0Aalert(document.domain);//validurl.com Puedes pegar por encima de la carga útil en la barra de la...
hecha 12.10.2015 - 07:28
1
respuesta

Uso de RSA para la autenticación de aplicaciones web

Tengo una red a la que solo se puede acceder a través de los servidores bastion a través de ssh. En él, estoy desarrollando aplicaciones web que están expuestas a los usuarios finales a través de GUIs servidas a través de websockets. Todo el trá...
hecha 24.07.2015 - 14:01
1
respuesta

¿Usar la clave del servidor para firmar digitalmente el contenido HTML que entregó?

¿Hay alguna forma de probar que una página HTML se envió a mi navegador y no se modificó de ninguna manera después de que se entregó a través de TLS? Necesito demostrar integridad y autenticidad del remitente, idealmente por la clave pública...
hecha 08.04.2015 - 02:37
1
respuesta

¿Cuál es el XSS malicioso más corto posible? [cerrado]

A veces te topas con campos de entrada que no escapan de la entrada de manera adecuada, pero que aún parecen ser demasiado cortos para ser usados para cualquier cosa maliciosa, al menos para alguien con mi imaginación limitada. Esto me hizo p...
hecha 01.12.2014 - 19:38
1
respuesta

¿Cuáles son los riesgos de proteger una API con una sola clave (sin secreto)?

Entiendo que muchas API están protegidas usando un (posiblemente público) API Key , para identificar quién realiza la solicitud, y un secret para hmac los parámetros y determinar si el cliente es quien dice ser . Lo que pasa es q...
hecha 08.10.2014 - 00:30