Preguntas con etiqueta 'web-application'

preguntas con etiqueta
4
respuestas

La información confidencial se colocó en una carpeta de acceso público. ¿Quién es responsable y cómo proceder?

Background Tenemos un personal de TI que administra nuestro servidor y un desarrollador web que no forma parte del personal de TI y no tiene acceso de root al servidor. Todos los involucrados realizan trabajos de muy alta calidad y no consider...
hecha 28.02.2012 - 23:17
5
respuestas

¿La configuración httponly evita el robo de una sesión usando XSS?

Si un token de sesión se almacena en una cookie que se ha configurado httponly, ¿hay alguna forma en que una vulnerabilidad XSS podría permitir que un usuario malintencionado robe un token de sesión de los usuarios?     
hecha 08.10.2013 - 19:53
3
respuestas

¿Usando la combinación de extensión de archivo y tipo MIME (como resultado de la salida del archivo -i -b) para determinar los archivos no seguros?

Permitimos a los usuarios cargar una cantidad de archivos, todos los cuales enviamos a scribd (doc, xls, ppts, etc.) o los mostramos como un video (flv, mov, mp4, etc. en flowplayer). Para evitar que los usuarios carguen archivos inseguros, v...
hecha 24.09.2011 - 10:44
4
respuestas

Enviando HTTP 403 como. 200 - “Identificación silenciosa del administrador”

Un investigador informó recientemente un problema en un sitio sobre el uso de secuencias de comandos en un sitio de terceros para descubrir si un usuario es un administrador. Aquí está el escenario: El sitio principal es target.example...
hecha 22.07.2013 - 15:11
4
respuestas

Servidor de socket personalizado en Internet ejecutándose como root

Estamos escribiendo un servidor de socket personalizado que se ejecuta en un puerto alto. Hasta hace poco, se ha estado ejecutando detrás de un firewall corporativo. Ahora, se ha decidido que el servidor debe tomarse fuera del firewall y atender...
hecha 23.04.2015 - 18:13
2
respuestas

¿Detectando intentos de atacar un sitio web?

Actualmente estoy intentando implementar algunas recomendaciones de OWASP AppSensor Project y me gustaría responder a la atacante cuando intenta entrar en mi sitio web. ¿Hay algún recurso que cubra / analice vectores de ataque específicos...
hecha 09.12.2010 - 18:03
2
respuestas

¿Es necesaria la firma de la solicitud (digerir el cuerpo de la solicitud) en una API REST?

Actualmente estoy participando en un debate y me pregunté cuál fue la opinión de la comunidad sobre esto. Vemos API REST que solo requieren autenticación básica (quizás HTTP) u OAuth. Vemos las API REST que también requieren una firma;...
hecha 15.03.2013 - 16:46
1
respuesta

¿Debo cifrar mis contraseñas incluso si solo se me permite generar tráfico limitado?

En este momento estoy ocupado trabajando en una aplicación web con un amigo mío. El principal problema que tenemos es que solo podemos generar 50 GB al mes en tráfico de datos. Mi pregunta es: ¿el hashing de las contraseñas de los usuarios (a...
hecha 13.05.2016 - 08:13
7
respuestas

Lista blanca de elementos DOM para derrotar a XSS

Como sabemos, los desarrolladores son responsables de escapar / validar correctamente los datos proporcionados por el usuario antes de procesarlos o almacenarlos. Sin embargo, debemos estar de acuerdo en que es relativamente fácil olvidar una en...
hecha 20.12.2010 - 11:13
6
respuestas

¿Es un problema de seguridad permitir direcciones de correo electrónico casi idénticas al registrarse?

Supongamos que tiene un sitio web donde es posible crear cuentas para todas las siguientes direcciones de correo electrónico: '[email protected]' '[email protected] ' '[email protected];' '[email protected];[email protected]' ¿Debería considerarse esto como u...
hecha 27.01.2016 - 20:00