Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

Hacer cumplir un protocolo seguro sobre la API pública

He implementado la API HTTP (REST) de mi producto como una API pública. Aunque mi servidor solo permite HTTPS, no tengo ningún control sobre los clientes. Tengo proveedores que implementan clientes en mi API, y me pregunto si existe alguna forma...
hecha 02.08.2018 - 19:56
1
respuesta

Ejecución del cruce de directorios contra encabezados de solicitud POST [cerrado]

Estoy intentando ejecutar un recorrido de directorios contra el servidor web de EdgeOS. Comencé el proxy ZAP de OWASP con Firefox e intenté iniciar sesión con un nombre de usuario y contraseña incorrectos para ver la solicitud POST. Estoy tratan...
hecha 28.06.2018 - 01:07
1
respuesta

¿La presencia del token XSRF y la cookie de sesión por solicitud mitiga el riesgo de seguridad de las credenciales de inicio de sesión de fuerza bruta? [duplicar]

No estoy teniendo éxito en el formulario HTTPS (nombre de usuario y contraseña) de fuerza bruta, que tiene token XSRF y cookie de sesión por solicitud, usando Hydra. ¿Quiero saber si la presencia del token XSRF y la cookie de sesión por sol...
hecha 14.07.2018 - 06:04
1
respuesta

¿La modificación de solicitudes utilizando Burpsuite se considera una vulnerabilidad de seguridad válida?

Me gustaría saber si la intercepción y la modificación de solicitudes que utilizan Burpsuite antes de llegar al servidor se consideran una vulnerabilidad. En nuestras aplicaciones web y móviles, existen medidas de seguridad adecuadas para evi...
hecha 23.07.2018 - 06:55
1
respuesta

Prevención de CSRF / XSS en la API compartida de web / móvil

He heredado una base de código que incluye un dispositivo móvil & aplicación web que accede a la misma API y se ha encargado de solucionar algunos de los agujeros de seguridad que existen, desafortunadamente no estoy bien versado en el tema....
hecha 04.04.2018 - 18:08
1
respuesta

¿Es seguro usar una cuenta de AD para ejecutar un grupo de aplicaciones en IIS con el fin de proporcionar permisos de lectura / escritura SQL a una aplicación web?

He estado trabajando en una aplicación web de intranet que proporciona acceso de lectura / escritura basado en roles a una base de datos. Se me ha pedido que configure la aplicación IIS para usar una cuenta de AD para el grupo de aplicaciones...
hecha 20.03.2018 - 14:11
1
respuesta

¿Qué algoritmo / bibliotecas de encriptación del lado del cliente debo usar para facilitar la sincronización?

Quiero crear una aplicación web y una aplicación móvil hermana (usando reaccion nativa) que use el cifrado del lado del cliente. El cifrado sería para las entradas de texto escritas diariamente que el usuario podría crear y editar. Si el usuario...
hecha 21.05.2018 - 03:28
1
respuesta

¿Cuántos lugares debe estar cifrado / descifrado TLS para el tráfico web?

Relacionada, pero no es la misma pregunta que Debe SSL terminado en un equilibrador de carga? . Nuestra pila web se parece a: Servidor web - IIS Load Balancer - NetScalar Cortafuegos - Palo Alto CDN / WAF - Akamai cliente final...
hecha 24.04.2018 - 19:44
1
respuesta

¿Cómo puedo enumerar todos los puntos finales de una API?

Digamos que tengo una API api.example.com y quiero probar todos los puntos finales. No tengo acceso a la documentación, ¿cómo puedo enumerar todos los puntos finales?     
hecha 26.04.2018 - 08:06
1
respuesta

PHP Backdoor en el servidor en vivo [duplicado]

De repente, uno de nuestros sitios web de Wordpress comenzó a enviar correos electrónicos no deseados y se incluyó en la lista negra de MXToolBox. Así que con el soporte del servidor, exploré los archivos y encontré un archivo extraño llamado...
hecha 02.01.2018 - 05:43