Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

tokens anti-CSRF vs Referer y pruebas POST

Entiendo que los tokens anti-CSRF son una parte de los datos enviados en la respuesta que se espera que coincida en las solicitudes posteriores, pero no se almacena en las cookies. Por ejemplo, un formulario con un valor oculto que debe incluirs...
hecha 10.01.2012 - 21:30
3
respuestas

Implementar aplicaciones web vulnerables en línea

Estoy implementando una aplicación web vulnerable para estudiantes (alrededor de 100) en una universidad, que pueden probar en línea y recolectar todo el tráfico con fines de investigación. Estoy implementando esta máquina en un ESX que aloja...
hecha 19.03.2012 - 13:54
4
respuestas

Demostración del sitio web que es vulnerable a la inyección de comandos [cerrado]

Estoy buscando un sitio web de demostración que muestre un ejemplo de un sitio web que sea vulnerable a la inyección de comandos: donde puedo inyectar algo y hacer que el sitio web ejecute un comando de shell. (Esto es únicamente con fines de de...
hecha 11.04.2012 - 06:28
1
respuesta

Búsqueda de lagunas de seguridad e informes (aplicaciones web específicamente)

Las personas que obtienen un lugar en el salón de la fama o son reconocidas específicamente por ataques como XSS, rce y algún tipo común de ataques que pueden ser detectados por herramientas de escaneo como owasp, Nessus, vega, etc. estas vulner...
hecha 23.01.2018 - 09:44
1
respuesta

¿Evita que se carguen malware en el servidor cambiando todas las extensiones a PNG?

Bien, tengo mi propio sitio web, y puedes usar la carga del archivo bastante, y es muy importante para el sitio. Sin embargo, he escuchado que los clientes aún pueden omitir las restricciones de extensión de un archivo (solo permito PNG y JPG),...
hecha 08.05.2016 - 02:55
2
respuestas

Omita el filtrado de comillas simples para XSS en el campo de entrada

¿Existe una forma posible de escribir una carga útil que pueda omitir el filtrado de ' , " , < y > ? Por lo que sé, es javascript:alert() ya que no utiliza ninguno de los anteriores. Entonces, ¿debería funci...
hecha 06.04.2017 - 20:33
2
respuestas

Precauations para auditoría de seguridad de aplicaciones web

Hemos planeado entregar nuestra aplicación web a un proveedor externo, ¿cuáles fueron las medidas de precaución que debemos tomar antes de entregar nuestra aplicación a un proveedor externo? Como el proveedor tiene acceso de origen a nuestra...
hecha 10.06.2015 - 13:24
1
respuesta

Guardar la contraseña del nombre de usuario encriptado en la sesión

Tengo un servidor Node.js que sirve una aplicación. En esa aplicación se le puede pedir que inicie sesión. Las credenciales de inicio de sesión se autenticarían en LDAP. Ese servidor podría solicitar / publicar datos de otros servidores a tra...
hecha 21.01.2016 - 15:21
2
respuestas

¿Se resolverían las Referencias Directas Inseguras y la Inyección de SQL utilizando Seguridad de Fila y Cadenas de Conexión por Usuario?

Con respecto a las siguientes vulnerabilidades de OWASP: Referencias de objetos directos inseguros . Con eso me refiero a dejar que alguien vea /account/123/not-theirs (esto podría ser la referencia incorrecta que estoy usando arrib...
hecha 22.03.2015 - 22:32
4
respuestas

¿Está buscando un nuevo software, comprobando su historial de seguridad?

Trabajo para una empresa y estamos buscando registrarnos para una nueva base de datos / software de registro. Como tal, hemos pasado por muchos programas diferentes, que van desde tecnologías web básicas hasta muy complejas. Mi pregunta es: ¿...
hecha 15.08.2016 - 18:32