Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Responder a mi inyección html?

Estoy practicando inyección de HTML en el sitio web de mis amigos (él sabe que estoy practicando). Así que encontré una vulnerabilidad si escribo <!----> en el cuadro de búsqueda, el nombre de usuario o la contraseña del sitio web l...
hecha 21.02.2017 - 07:45
1
respuesta

¿Alternativa al almacenamiento de contraseñas cuando se trata de integraciones que solo permiten la autenticación de nombre de usuario / contraseña? [duplicar]

Estoy trabajando en una integración con un servicio externo que requiere autenticación por usuario, como Facebook, por ejemplo, pero a diferencia de Facebook solo permite el nombre de usuario y la contraseña para esta autenticación. Mi experie...
hecha 07.03.2017 - 12:04
2
respuestas

¿Está bien si se puede acceder a las aplicaciones en un entorno de preproducción sin VPN?

Las aplicaciones web "para clientes" de una empresa se implementan en sus entornos de pre-producción. Se puede acceder a las aplicaciones en estos entornos sin ninguna VPN. Todo lo que necesitas es la url pública. Dudo que se pueda acceder al có...
hecha 02.03.2017 - 23:15
1
respuesta

¿Se usan en la práctica los ataques de tiempo para PHP? [duplicar]

Tengo curiosidad, hasta qué punto son explotables las contraseñas si la comparación de la contraseña subyacente es vulnerable a los ataques de tiempo. Mi principal preocupación es que la velocidad de Internet varía continuamente, los tiempos d...
hecha 22.03.2017 - 12:42
1
respuesta

¿Qué tan seguro es mi código fuente de Heroku?

Estoy usando Heroku para alojar una pequeña cantidad de servicios. Quiero entender mejor los permisos de acceso a los archivos que estoy colocando en mis instancias de Heroku. En primer lugar, soy consciente de que estoy entregando mis datos...
hecha 09.02.2017 - 08:07
1
respuesta

¿Cómo enviar cookies de manera segura de un sitio a otro a través de userscript?

Estoy a medio camino de crear un servicio de terceros para un juego en línea. Actualmente, para extraer los datos del juego fuera del juego, utilizo mis propias cookies de autenticación, sin embargo, quiero que esté disponible para que otros jug...
hecha 06.01.2017 - 03:50
1
respuesta

iDevAffiliate vulnerable a la carga de un archivo, ¿cómo podemos limitar el daño?

El software de afiliación iDevAffiliate proporciona un programa de afiliación para iniciar el seguimiento de afiliados. Está protegido por ioncube, lo que hace que sea bastante difícil auditar el código de vulnerabilidad. Es el punto de entra...
hecha 28.12.2016 - 12:25
1
respuesta

¿Cómo obtengo un recuento de URL anidadas únicas en una aplicación web?

Estoy explorando una aplicación web para un pentest. La aplicación tiene un número de URL anidadas dinámicas. He rastreado todas las URL de la aplicación a través de Burp-suite. Necesito obtener una lista de URL anidadas únicas en la aplicación....
hecha 15.11.2016 - 02:58
1
respuesta

¿Cómo validar el token CSRFGuard en el lado del servidor?

He implementado la biblioteca OWASP CSRFGuard para proteger mi aplicación contra los ataques CSRF. Estoy utilizando el archivo y el servlet de JavaScript CSRFGuard para inyectar tokens CSRF en todas las solicitudes Ajax. Hasta ahora estoy viendo...
hecha 30.12.2016 - 18:00
2
respuestas

¿Cuál es el mejor método para almacenar el host SQL, el nombre de usuario y la contraseña para múltiples bases de datos?

Tengo un proyecto grande que tiene varios servidores web (uno para cada cliente), una aplicación (para todos los clientes) y varias bases de datos SQL (una para cada cliente) como se muestra a continuación. . Por razones de seguridad, ne...
hecha 02.01.2017 - 16:46