Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

Página de formulario y procesamiento en dominios HTTPS separados. Cualquier riesgo?

Si tengo un formulario en un sitio HTTPS y mi página de procesamiento (que también es HTTPS) está en un dominio completamente diferente, ¿estarán seguros los datos? Por ejemplo: https://example.com tiene un formulario con action="ht...
hecha 08.12.2016 - 07:26
1
respuesta

¿Es peligroso enviar una entrada de usuario sin escape como respuesta HTML al mismo usuario? [duplicar]

Entiendo por qué permitir que un código JS arbitrario ingrese al almacenamiento persistente (por ejemplo, en una tabla de base de datos que contiene comentarios de usuarios) es una gran vulnerabilidad, ya que puede terminar siendo distribuida...
hecha 03.11.2016 - 06:22
1
respuesta

Pentest para shellshock a través de url?

En el pasado me han impactado las sondas que entregaban una cadena de validación de shell shock x='() { :;}; echo vulnerable' a través de un método basado en URL / navegador que golpeaba los servicios web públicos. ¿Cuál es la mejor ma...
hecha 17.08.2016 - 21:21
4
respuestas

¿La prevención XSS almacenada debe ser del cliente o del servidor? [duplicar]

¿Cuál es la mejor manera de prevenir el XSS almacenado? en caso de que todos los campos de texto (incluso texto sin formato) se desinfecten lado del servidor utilizando algo como OWASP Java HTML Sanitizer Project ? o si el cliente s...
hecha 23.08.2016 - 15:41
3
respuestas

¿Por qué los sitios web grandes no protegen su página principal con SSL? [cerrado]

Grandes sitios web para cosas como bancos (por ejemplo, www.cimbclicks.com.my ) y compras en línea (por ejemplo, www.lazada.com.my ) no parece importarle asegurar su página principal con SSL pero su página de inicio de sesión está protegida co...
hecha 14.09.2016 - 03:28
1
respuesta

Revelación de información de cookies "PreviousLoggedinUser"

Me preguntaba si qué tipo de información puede revelar una cookie. Como ejemplo, estaba probando un sitio web y veo en Burp que su cookie contiene varias piezas de información, una de las cuales es el identificador "previousLoggedInAs" que ident...
hecha 29.09.2016 - 04:31
2
respuestas

¿Restrinja el acceso a la aplicación web a las computadoras seleccionadas?

Estoy obteniendo una aplicación web diseñada para que el personal de la oficina la use para automatizar un proceso. Hay varias ubicaciones de oficinas y, por lo tanto, varias computadoras en varias ubicaciones. ¿Es posible restringir el acceso a...
hecha 11.08.2016 - 20:55
2
respuestas

¿Hay alguna razón para desactivar copiar / pegar en un sitio web?

Estoy haciendo casi la misma pregunta, pero hoy en día está relacionado con el sitio web de mi banco, deshabilitaron varias funciones , incluyendo: hacer clic con el botón derecho, copiar, pegar. ¿Hay alguna implicación de seguridad real a...
hecha 08.08.2016 - 16:30
1
respuesta

Ejecutando la carga de XSS cuando se agrega “http” a la carga de pago

Tengo un contexto donde todos los caracteres especiales se escapan correctamente, excepto ':' & '/' . La salida se refleja dentro de la etiqueta <a href="payload" . 1) Cuando configuro la carga útil en javascript:...
hecha 11.01.2016 - 21:00
1
respuesta

Forzando encabezados de respuesta

Estoy probando un cuadro de vulnerabilidad en particular desde ayer y tuve un problema bastante extraño que no esperaba. Digamos que una aplicación web vulnerable ofrece carga de archivos de imagen. La imagen en realidad no tiene que ser imag...
hecha 16.01.2016 - 00:19