Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

¿Qué es esto para una solicitud?

Veo la siguiente cadena de solicitud (vea el ejemplo completo a continuación) con los mismos parámetros de solicitud, pero con valores diferentes, que afectan a todos nuestros sitios / wafs. El esquema es siempre el mismo: &sa=...&...
hecha 12.09.2013 - 21:22
3
respuestas

¿Las URLs de imágenes oscuras impiden la recolección de imágenes?

En un sitio web que requiera que el usuario inicie sesión, y todo el contenido puede ser visto por cualquier usuario registrado, ¿hay algún punto en hacer URL de imagen oscura como "1mh9cr2m78234bc23-32xy4723nxy12.jpg" para proteger el contenido...
hecha 08.08.2013 - 17:57
2
respuestas

Intercambiabilidad POST y POST

En algunas aplicaciones, los métodos HTTP GET y POST se pueden usar indistintamente. Por ejemplo, la aplicación puede esperar una solicitud POST, y la interfaz también enviará los datos en una solicitud POST, pero si la solicitud se modifica,...
hecha 30.07.2016 - 14:16
4
respuestas

Detección de fraude para evitar usuarios falsos

Sé que no hay una solución al 100% para la detección de fraudes, pero al menos quiero establecer un cierto nivel de confianza en este caso de uso. Supongamos que tengo un sistema donde: Un usuario necesita hacer un registro Un usuario s...
hecha 11.02.2016 - 11:28
1
respuesta

¿Es un problema de seguridad el cierre de sesión de un usuario con CSRF? [duplicar]

Encontré el siguiente comportamiento en un sitio web relativamente popular: Tienen una ruta GET para cerrar sesión (por ejemplo, /api/user/logout ). Eso me permite escribir ![](/api/user/logout) en un comentario o cua...
hecha 17.02.2016 - 05:17
2
respuestas

¿Cómo evitar XSS reflejado con el Java Struts Framework? [cerrado]

Tengo una aplicación que se ejecuta bajo el servidor Jboss. Tengo un servidor Apache en frente. Mi aplicación contiene una vulnerabilidad de seguridad (secuencias de comandos XSS entre sitios). Quería saber que tenía que hacer cambios en el c...
hecha 22.02.2016 - 14:27
4
respuestas

¿Se debe permitir a los usuarios iniciar sesión con la misma contraseña cuando se solicita un cambio de contraseña pero no se cambia?

Me he dado cuenta de que algunos sitios no le permiten iniciar sesión con la contraseña anterior si se solicita una nueva, pero no se modificó. Ejemplo: Olvidé mi contraseña y solicité una nueva en el correo electrónico. Recibí el correo elec...
hecha 09.02.2017 - 09:53
2
respuestas

Ataque de relevo contra Captcha

Estoy implementando un sitio web que incluye mi propio texto Captcha (no uso ningún servicio de Captcha, como reCaptcha). El código Captcha sirve a cada desafío (es decir, imagen) solo una vez para el proceso de visualización y verificación. ¿Al...
hecha 05.02.2017 - 22:26
2
respuestas

¿Cómo puedo demostrar el XSS reflejado a través de métodos de publicación?

Estaba intentando hacer un PoC de XSS: Muestra de ataque: He inyectado script en el valor: <html> <body> <form action="https://test.com/api/users.prefs.set?t=1447648400" method="POST"> <input type="hidde...
hecha 16.11.2015 - 05:08
1
respuesta

El mensaje de error del encabezado HTTP parece estar conectado. ¿Es este un ataque de desbordamiento de búfer?

El registro de errores de Mi gerrit muestra el siguiente código de shell como caracteres: [HTTP-64] WARN org.eclipse.jetty.http.HttpParser : Illegal character 0x5 in state=START for buffer HeapByteBuffer@af151b6[p=1,l=3,c=8192,r=2]={\x05<&...
hecha 31.10.2016 - 07:08