Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

Infraestructura de clave pública: ¿Enviando datos de forma segura al CLIENTE?

Bien, he estado buscando encriptación de clave pública y usándolo un poco en algunas de mis aplicaciones web. De algunas pruebas, entiendo que el servidor contiene dos claves y envía la clave pública al cliente. Con este tipo de sistema, el c...
hecha 25.11.2015 - 06:35
4
respuestas

¿Es una vulnerabilidad si las cookies de una aplicación contienen información confidencial?

Estoy evaluando una pequeña aplicación web de comercio electrónico. Descubrí que la aplicación pasa los detalles del pedido, el costo, la identificación del pedido, etc. como parte de la cookie. La manipulación no afecta a las operaciones. Si...
hecha 05.07.2016 - 00:12
1
respuesta

¿Cómo puedo controlar todas las solicitudes de mi sitio web? [cerrado]

Necesito gestionar las solicitudes de mi sitio web. Debido a que ambos necesito detectar solicitudes sospechosas y bloquear esa IP y calcular el número de usuarios que visitan mi sitio web. Así que he creado una tabla como esta: // requests...
hecha 21.06.2016 - 09:14
1
respuesta

Prevención de la inyección XXE

Me he topado con un método de explotación que no he tenido tiempo de investigar antes. Se dice que XML eXternal Entity es susceptible de un tipo de inyección del lado del servidor. Puedo especificar una Declaración de tipo de documento ( DOCTY...
hecha 02.03.2015 - 11:36
3
respuestas

¿Debería funcionar el token CSRF sin cookie de sesión?

Digamos que el sitio web example.com tiene protección CSRF. Envían un token CSRF en un encabezado personalizado y en campos de entrada ocultos. Por ejemplo, para agregar una nueva carpeta, su solicitud http debe contener el token CSRF. Lo que...
hecha 07.02.2015 - 16:13
2
respuestas

¿Debo usar un token CSRF por página o por formulario?

¿Es seguro usar un token CSRF por formulario en mi página, por ejemplo: <form> <input type="hidden" name="token" vale="<?=$data['login_token'];?>" />" </form> <form> <input type="hidden" name="token" va...
hecha 09.05.2016 - 19:08
3
respuestas

¿Existe un beneficio adicional para la autenticación dentro de una parte de una aplicación, después de la autenticación en la aplicación principal?

Esencialmente tengo una aplicación que es de 2 partes. Una parte está en la máquina del usuario, que cargará los archivos en mi servidor, y la otra parte es una aplicación web que funciona con esos archivos. Ambas aplicaciones impl...
hecha 28.04.2016 - 21:07
3
respuestas

¿Cuáles son las diferentes cargas útiles utilizadas para la vulnerabilidad de XSS? [cerrado]

Soy nuevo en el campo de la seguridad de la información. Estoy buscando vulnerabilidades XSS. En XSS, la mayoría de ellos usan <script>alert('XSS')</script> payload para atacar sitios web. En el caso de omitir los filtro...
hecha 15.07.2015 - 12:53
1
respuesta

Hacer un juicio sobre el uso de IP de un usuario

Tenemos una aplicación web de tipo de intercambio de clics que permite a los usuarios recibir mejoras de estadísticas dentro de un juego. Los incrementos de estadísticas se basan en direcciones IP únicas, lo que plantea un problema para los usua...
hecha 06.03.2015 - 20:04
3
respuestas

¿Será suficiente con verificar el token CSRF en el encabezado y el formulario oculto?

Por lo que leí aquí , los tokens CSRF del encabezado de la cookie no pueden Ser leído debido a la política del mismo origen. ¿Es suficiente comparar el token CSRF en el encabezado de la cookie con el elemento oculto del formulario? Con es...
hecha 09.10.2014 - 14:17