Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

Proteger aplicación de Proxy Http como Charles [duplicar]

Estoy usando enlace para la API web en mi aplicación. Pero sé que Charles también pudo acceder a la solicitud https, a través de la instalación de certificados raíz en el dispositivo. Entonces, alguien descargó la aplicación de PlayStore e i...
hecha 27.11.2018 - 11:21
1
respuesta

¿Cómo prevenir ataques CSRF en dos etapas?

Supongamos que estamos creando un token CSRF e inyectarlo en un formulario en la página sendmoney.php . ¿Qué impide al atacante enviar una solicitud a sendmoney.php para obtener el token CSRF y luego enviar el formulario? ¿Alguna...
hecha 28.10.2018 - 18:22
1
respuesta

¿Cómo ocultar las carpetas dentro de webroot para que no sean identificadas?

Tengo una biblioteca dentro de mi webroot: enlace El acceso a la url a través de un navegador me da el error de permiso esperado denegado. Sin embargo, quiero asegurarme de que los clientes ni siquiera sepan que la biblioteca existe....
hecha 05.07.2018 - 19:38
1
respuesta

Autenticación con script OWASP ZAP

Actualmente estoy trabajando en una secuencia de comandos de Python que automatizará el zap para mí, por lo que no tengo que ingresar y borrar manualmente los campos o las páginas de rastreo. La parte en la que estoy atascado es que actualmente...
hecha 12.07.2018 - 20:18
1
respuesta

Aplicación web con CORS Origin: * usando el encabezado de autorización

Como se indica aquí, enlace en "Solicitudes con credenciales y comodines". Cita:    Al responder a una solicitud con credenciales, el servidor debe especificar una   origen en el valor del encabezado Access-Control-Allow-Origin, en lugar de...
hecha 21.09.2018 - 13:49
1
respuesta

¿Cómo actúo como intermediario entre dos partes que no confían la una en la otra?

Estoy especulando sobre el diseño de un sistema que permita el intercambio de información confiable entre dos partes. Parte A: Es una gran corporación. Quiere ofrecer acceso a sus empleados a través de un acuerdo de inicio de sesión úni...
hecha 21.08.2018 - 20:17
1
respuesta

Exponer una aplicación web de alquiler interna para varias tiendas / empleados [cerrado]

Estoy creando una aplicación web para uso interno en el trabajo. Estructura de base de datos relacional principalmente básica (clientes, pedidos, películas, etc.). Se utilizará en varias tiendas en toda la ciudad. ¿Cuál es la mejor práctica p...
hecha 23.08.2018 - 09:26
3
respuestas

¿Cómo explotar esta vulnerabilidad de redireccionamiento abierto en el navegador?

Tengo un problema. Encontré vulnerabilidad de redireccionamiento abierto por eructo. La solicitud por servidor se ve como aquí: GET /user/settings/ HTTP/1.1 Host: domain.com User-Agent: etc Así que decidí buscar una redirección abierta aqu...
hecha 21.08.2018 - 12:47
1
respuesta

¿Se deben sanear las cadenas no confiables del lado del servidor si se insertan en el cuerpo del documento mediante document.createTextNode?

Webapp de chat. Los clientes (es decir, los navegadores web) envían mensajes al servidor, que el servidor transmite a todos los clientes conectados. El código del lado del cliente se ve así: let p = document.createElement('p') p.appendChild(do...
hecha 25.08.2018 - 22:53
1
respuesta

¿Por qué WebAuthn usa solo un factor?

Una de las principales cosas que me sorprende acerca del nuevo estándar WebAuthn es el hecho de que estas claves biométricas o U2F reemplazan las contraseñas en lugar de complementarlas. ¿Por qué se hace esto y es seguro?     
hecha 23.05.2018 - 00:51