Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

¿Debo usar protección CSRF en los puntos finales de la API Rest?

Nota rápida: este no es un duplicado de protección CSRF con encabezados personalizados (y sin el token de validación) a pesar de algunos solapamientos. Esa publicación explica cómo realizar la protección CSRF en los puntos finales de descans...
hecha 03.08.2017 - 18:41
0
respuestas

Imagen de datos con CSP

Estoy tratando de obtener una imagen que esté dentro de JavaScript para trabajar con nuestro CSP. He leído que usar data: (incluso en img-src ) es un riesgo de XSS, así que estoy tratando de evitar eso. Como se llama desde un a...
hecha 02.10.2018 - 11:25
0
respuestas

Capturando el tráfico HTTP a través del servidor proxy

Al realizar la evaluación de seguridad en una aplicación de Android (entorno UAT), no puedo capturar el tráfico HTTP a través del servidor proxy (Burp Suite / OWASP Zap). No hay ningún punto de implementación de medidas de seguridad como SSL P...
hecha 13.11.2018 - 11:26
1
respuesta

Ejecución remota de código y vulnerabilidades XSS. ¿Qué pasos se deben tomar para asegurar un servidor una vez que se descubren y se actualizan?

Acabo de recibir una notificación de una vulnerabilidad de ejecución remota de código y una vulnerabilidad xss en un sitio que ejecuto. He arreglado el código responsable, pero me pregunto qué pasos deberían tomarse después para: Asegúrese d...
hecha 30.10.2018 - 20:35
0
respuestas

Protección de secretos de aplicaciones web luego de la ejecución del código

Me gustaría aclarar las prácticas de protección para el manejo de los secretos de la base de datos con la aplicación web conectada a la base de datos, utilizando contenedores Docker. El objetivo es determinar cómo proteger los secretos, incluso...
hecha 28.10.2018 - 23:28
0
respuestas

Cómo asegurarse de que su clave API no pueda copiarse y usarse

Una cosa con la que a menudo me cuesta trabajo al desarrollar mis API es la autenticación. No tuve muchos problemas con esto cuando los estaba creando para un solo sitio web y pude implementar el siguiente flujo: El servidor crea una sesión...
hecha 23.08.2018 - 17:37
1
respuesta

Pruebas CSRF. Error de validación 422. Configuración regional requerida

Por lo tanto, estoy probando este sitio en busca de cursos y creo que podría ser CSRF vulnerable. Sin embargo, cuando intento realizar una solicitud posterior, recibo un error de validación que dice que se requiere "locale" a pesar de que lo esp...
hecha 22.08.2018 - 16:15
0
respuestas

Cómo reventar el código que destruye el marco sin un sandbox

Se publicó esto en stackoverflow, pero la gente aparentemente tiene miedo de explotar el código allí. Tengo la siguiente página index.html que contiene un iframe. <body> <iframe id="other" src="http://www.example.com"width="1250"...
hecha 15.06.2018 - 21:50
0
respuestas

Java Sandbox Model: ¿es suficiente el ClassLoader?

Estoy creando una aplicación web que ejecuta código no confiable escrito por el usuario en Java. Por supuesto, no se supone que el código tenga acceso a algo que no quiero, así que quería implementar el Modelo de Sandbox de Java. Como parte del...
hecha 18.07.2018 - 09:44
1
respuesta

Normas de seguridad para almacenar datos privados de clientes

Un determinado reglamento gubernamental en mi país obliga a todos los donantes no residentes a proporcionar una copia de su identificación (generalmente, el pasaporte). Por lo tanto, les pedimos a los donantes que carguen una copia de sus pas...
hecha 14.09.2013 - 12:01