Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

¿Por qué la mayoría de las aplicaciones web utilizan el token CRSF como un método de prevención en lugar de validar a través del encabezado de origen?

¿Por qué se descubrió el token crsf en primer lugar? Siempre se puede verificar desde la solicitud generada por el encabezado de origen     
hecha 28.09.2018 - 08:54
1
respuesta

Cómo almacenar un token de acceso de usuario en un sitio de terceros en la parte delantera

Estoy trabajando en un plugin de wordpress que proporciona un sistema de hilos de comentarios como disqus (pero diferentes). Para iniciar sesión (para publicar comentarios), el flujo de trabajo es así: El usuario hace clic en el inicio de...
hecha 03.09.2018 - 11:28
1
respuesta

Vulnerabilidad del token web JSON con HMAC y RSA

Actualmente estoy aprendiendo sobre una vulnerabilidad que aprovecha un token web JSON que se discute aquí Aunque entendí la naturaleza del error y cómo los atacantes pueden abusar de él, no pude averiguar cómo explotarlo. He leído muchos a...
hecha 05.06.2018 - 11:01
2
respuestas

codificación JWT usando HMAC con clave asimétrica como secreto

Actualmente estoy explotando la vulnerabilidad discutida aquí enlace Donde el tipo de algoritmo en JWT puede cambiarse de RSA a HMAC y firmar el token con una clave pública determinada. Sin embargo, escribí el siguiente código de Pyth...
hecha 07.06.2018 - 11:41
4
respuestas

127.0.0.1 accediendo a internet [cerrado]

Estamos viendo una aplicación que requiere una entrada de DNS local para my.site.com con la dirección IP 127.0.0.1. Nuestro proxy está bloqueando esta URL cada vez que la aplicación intenta usarla. El soporte de la aplicación dice que (my.site.c...
hecha 07.12.2018 - 05:45
1
respuesta

¿Cómo evitar la manipulación de la respuesta en la aplicación NodeJS?

Tengo una aplicación NodeJS en el servidor. El atacante del sistema cliente ya sabe cómo se ve la respuesta correcta para una solicitud. La próxima vez que envíe una solicitud con credenciales incorrectas, incluso si la solicitud responde con un...
hecha 26.03.2018 - 16:56
1
respuesta

¿Protocolo / estándar / software para solicitar la firma / verificación de contenido de PGP?

Tengo un pequeño foro web y me gustaría promover el uso de la firma de mensajes PGP. Los usuarios pueden firmar sus publicaciones y verificar las publicaciones de otros usuarios, pero actualmente el proceso es manual. Dependiendo del software qu...
hecha 08.08.2018 - 21:30
1
respuesta

Almacenar datos financieros básicos

Estoy trabajando en un proyecto similar a una aplicación de presupuesto como mint o ynab. Estaré usando la api de Plaid , que retira números de cuenta / enrutamiento, etc. Por lo tanto, a lo que tendré acceso y seré intentar almacenar, sería el...
hecha 21.03.2018 - 03:17
1
respuesta

¿Cómo detectar XSS en las etiquetas HTML? [cerrado]

Soy un principiante que está tratando de entender XSS. Quiero crear mi propio sitio y tengo mucha curiosidad sobre cómo detectar si alguna de las etiquetas HTML es vulnerable a XSS (como si las etiquetas <src> o <a> )....
hecha 03.08.2018 - 21:08
1
respuesta

Impedir CSRF en un sitio web público sin inicio de sesión

Estoy trabajando en un proyecto web que permite a una persona enviar un formulario de solicitud a mi API. Cada visitante puede enviar una solicitud a través de ese formulario sin iniciar sesión. Actualmente, la API genera un token cuando la p...
hecha 20.04.2018 - 02:55