Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

Anexar múltiples tareas de Google en una sola consulta

Mi objetivo es buscar múltiples vulnerabilidades en una única búsqueda de Google para un sitio en particular. (Porque Google me hace pagar más de 100 llamadas de API de búsqueda por día). Digamos que tengo 3 dorks: index of /htdocs y...
hecha 26.07.2017 - 00:33
2
respuestas

¿Por qué las contraseñas no están hasheadas localmente? [duplicar]

La gente está reutilizando contraseñas todo el tiempo, y con muchos sitios que aceptan direcciones de correo electrónico como inicios de sesión, una contraseña robada puede desbloquear muchas cuentas. Entonces, ¿por qué no solo hash la contras...
hecha 24.04.2017 - 17:28
3
respuestas

Beneficio de convertir campos de credenciales a campos de contraseña

He encontrado algunos sitios (pero no muchos, enlace me hicieron pensar en esto) que convierten los campos de credenciales en una contraseña campos que no eran campos enmascarados (por ejemplo, campo de nombre de usuario) antes de transmitir (...
hecha 09.01.2017 - 03:24
1
respuesta

¿En la intranet de la empresa aún el servidor web recogió las solicitudes de tipo de escaneo de URL?

Estaba ejecutando algunas pruebas unitarias para una aplicación web utilizando Karma en el modo de visualización (por lo tanto, estaba ejecutando un servidor web) y obtuve esta salida en mi consola entre las pruebas, mientras que la con...
hecha 20.01.2017 - 19:30
2
respuestas

¿cómo eliminar los parámetros de obtención / publicación utilizados en la URL durante el pentest?

¿Existe una manera buena / sistemática de descubrir los parámetros GET / POST utilizados en la URL? Por ejemplo, quiero descubrir los nombres de los parámetros a , b , c utilizados en las URL https://myserve...
hecha 26.01.2017 - 22:24
2
respuestas

¿Es este un signo de un ataque XSS exitoso?

Sólo estoy probando un ataque de inyección XSS básico. Dadas las imágenes a continuación, ¿parece que este sitio web es vulnerable a XSS? ¿La lista blanca de personajes sigue siendo la mejor práctica contra los ataques XSS?     
hecha 29.03.2017 - 08:43
1
respuesta

Formulario de inicio de sesión seguro desde un sitio no seguro

Tenemos dos sitios, app.company.com y www.company.com. En este momento, los usuarios están entrenados solo para ingresar sus credenciales de inicio de sesión en app.company.com. Ambos sitios utilizan SSL. App.company.com utiliza CSRF y nosotros...
hecha 14.04.2016 - 19:52
1
respuesta

¿La aplicación web encripta los datos del cliente con la contraseña de inicio de sesión?

Estoy escribiendo una aplicación web para la gestión de información personal que se ejecuta en la nube. Para eso, estoy considerando el cifrado del lado del cliente utilizando AES256 con window.crypto y SJCL como respaldo para los navegadores má...
hecha 04.03.2017 - 19:57
1
respuesta

¿Hace referencia a la aplicación web "no segura"? [duplicar]

Soy nuevo tanto en desarrollo web como en seguridad, y me preguntaba si hay algún tipo de aplicación web de referencia que no siga ninguna de las mejores prácticas de seguridad. Algo así como un "mundo de seguridad" :). En el sitio de OWASP...
hecha 27.02.2017 - 08:28
2
respuestas

Si un campo de entrada acepta% de datos, entonces, ¿cómo se puede decir que existe un riesgo de XSS almacenado?

Tengo una aplicación de formularios web ASP.Net (actualizada a framework 4.0) que tiene validación de solicitud en todas las páginas. Alguien que intente una inyección de script (al ingresar algo como <script>location.href=dangerurl;<...
hecha 14.12.2016 - 22:36