Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

GWT - usando el paquete burp para inyectar cargas útiles xss

Construyo un pequeño sitio web para propósitos de pruebas de penetración utilizando el marco Google Webtool Kit . Sin embargo, pude hacer que la aplicación fuera vulnerable contra xss usando el siguiente código: final HTML xssWidget =...
hecha 22.12.2016 - 13:20
1
respuesta

¿Qué es 'Desasociación de shell modular del kernel'?

Bajo muchos recursos de diferencia ( enlace para uno), hay algunos consejos excelentes para defenderse contra la inyección de código. Sin embargo, uno de ellos es 'Desasociación de shell modular del kernel', pero después de un poco de Google...
hecha 03.11.2016 - 04:58
2
respuestas

¿cuál es el problema de seguridad si el tiempo de espera de la sesión es el valor predeterminado de la configuración del servidor?

En una aplicación web, el tiempo de espera de sesión no está definido ni en la aplicación ni en la configuración de la aplicación. Pero el tiempo de espera predeterminado se toma de IIS. ¿Cuál es el problema de seguridad si el tiempo de espera d...
hecha 19.01.2017 - 17:18
2
respuestas

Integridad del sub-recurso para recursos del mismo origen (primera parte)

Casi todos los artículos que leí sobre integridad del sub-recurso cubren la carga de scripts (y CSS) de CDN y recursos de terceros, lo que tiene sentido. ¿Hay algún valor en agregar el atributo integrity a mis propios scripts (es de...
hecha 17.10.2016 - 02:38
1
respuesta

Cómo la incapacidad para modificar el título de la función de alerta () de javascript ayuda en la lucha contra el phishing

Estaba usando javascript en una de mis aplicaciones web y quería mostrar una alerta en la pantalla usando la función alert("some message") con un título personalizado. ejemplo: pero como lo sugieren muchos sitios web, no es po...
hecha 25.09.2016 - 14:21
1
respuesta

¿Guardar clave de cifrado en $ _SESSION vs $ _COOKIE?

Lea el tutorial aquí: enlace (escenario # 2) Se recomienda almacenar la clave de cifrado en una variable de sesión. Me preguntaba: ¿es más seguro almacenar la clave en una variable de cookie? Mi suposición: $ _SESSION se almacena en...
hecha 10.09.2016 - 20:29
1
respuesta

¿A qué ataques de seguridad está abierto mi sistema de carrito simple?

Estoy armando un sitio simple con un proceso de pago básico. Estoy usando laravel 5.2. Cuando un usuario realiza una visita, las aplicaciones verifican si una cookie está sembrada con un ID de hash de cookie: el hash tiene una longitud de 70 car...
hecha 19.08.2016 - 11:57
1
respuesta

¿Por qué los sitios web muestran partes de números telefónicos, pero nunca direcciones de correo electrónico?

Diga que tengo un sitio web que permite a un usuario restablecer su contraseña por correo electrónico o por mensaje de texto. El usuario debe poder elegir uno u otro. Sin revelar demasiada información, ¿cuál sería la cantidad óptima de caract...
hecha 17.08.2016 - 20:57
1
respuesta

¿Por qué las secuencias de comandos entre sitios en la URL son peligrosas si no utilizo cookies? [duplicar]

Actualmente tengo un problema XXS en este sitio. https://bbcpanningen.cupweb6.nl:1311/servlet/OMSALogin?msgStatus="><script>alert("hello") </script> Pero no entiendo cómo un atacante puede explotar esto. Los sitios no util...
hecha 12.11.2013 - 19:36
1
respuesta

¿Puede el texto de una página web guardado en un archivo pdf comprometer a las máquinas?

Estoy realizando una evaluación de seguridad en la que una página web tiene campos si los datos ingresados en ellos. El pdf se genera en el backend. ¿Es posible enviar algún texto malicioso que venga en pdf y pueda comprometer al usuario o la má...
hecha 21.09.2016 - 11:20