Preguntas con etiqueta 'web-application'

preguntas con etiqueta
0
respuestas

¿Cómo enviar las puntuaciones de forma segura desde una aplicación que utiliza solo el inicio de sesión de Facebook?

Nuestra aplicación de Android solo tiene inicio de sesión de Facebook. Esto es lo que sucede en el servidor: Se crea un usuario cuando se envía una solicitud POST utilizando el token de acceso de usuario de Facebook en el cuerpo. Cuando un...
hecha 16.03.2017 - 10:58
1
respuesta

No se puede ejecutar el shell de PHP

He cargado un shell PHP simple en un servidor, pero recibo uno de los siguientes mensajes de error cuando intento ejecutar un código:    Advertencia: shell_exec () No se puede ejecutar 'ls' en .... en la línea 2    Advertencia: shell_ex...
hecha 31.12.2016 - 11:23
1
respuesta

Es PrinceXML explotable si controlo la plantilla [cerrado]

En el medio de una prueba de lápiz de aplicación web. Desde el lado del cliente, puedo controlar una variable llamada plantilla (a una URL que finalmente produce una versión en pdf de la página). Esta variable contiene lo que parece ser el esque...
hecha 10.12.2016 - 19:11
0
respuestas

Explotación de la inyección del Selector de consultas en ExpressJS

Tengo una página web vulnerable que usa Express framework para NodeJS. La página web vulnerable acepta el siguiente tráfico y devuelve datos json GET /findInfo?user=12345678 HTTP/1.1 Host: example.com X-Requested-With: XMLHttpRequest La sal...
hecha 07.02.2017 - 11:12
0
respuestas

¿Cómo puedo auditar los módulos y los marcadores de etapa en el proceso de autenticación de OWIN?

OWIN de ASP.NET (en MVC4 y Katana) permite que se agreguen varios objetos a la tubería de procesamiento HTTP. Quiero asegurarme de que hay no hay paquetes nuget deshonestos no es difícil encontrar partial classes que están enterr...
hecha 25.01.2017 - 19:35
0
respuestas

Consideraciones de riesgo con el uso del servicio de seguimiento Hotjar

Recientemente hemos recibido una solicitud para implementar el servicio Hotjar en nuestra solución de comercio electrónico. Este es un servicio de seguimiento de usuarios / mapa de calor que hace un seguimiento esencial de todas las interaccione...
hecha 23.02.2017 - 22:46
0
respuestas

Cómo generar y almacenar de forma segura una contraseña de los datos de usuario de Google OAuth (para otra API REST)

Tengo una aplicación web, donde los usuarios inician sesión con Google (OAuth 2.0). Esta aplicación web utiliza una API REST (figo.io) en segundo plano, así que tengo que crear un usuario de API con credenciales. Ahora tengo el siguiente prob...
hecha 07.11.2016 - 14:11
0
respuestas

Microsoft IIS 7.5 del DBA SQLi basado en tiempo al shell

Estoy tratando con un SQLi basado en el tiempo en un servidor Microsoft IIS 7.5 y quiero cargar un shell. Mi enfoque es obtener la ruta interna de la aplicación y luego intentar cargar un archivo con sqlmap --file-write "shell.aspx" --file...
hecha 08.11.2016 - 14:50
0
respuestas

¿Es posible integrar autenticación basada en 302 con autenticación basada en 401?

Estoy buscando puntos finales seguros con una técnica similar a HAWK que devuelve una autenticación 401 con OAuth que usa redirección basada en 302 ¿Cómo puedo combinar dos formatos de autenticación diferentes para que un cliente inteligente...
hecha 26.01.2017 - 21:28
0
respuestas

Cómo distinguir entre SQLi y ORMi

La Guía de pruebas OWASP (más precisamente: el Capítulo 4) proporciona una metodología para las aplicaciones web más pequeñas. Actualmente se está revisando, la versión 5 está programada para principios de 2018. Una de las secciones de la meto...
hecha 24.07.2017 - 11:00