Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

Cómo detectar Selenium / webdriver navegando en mi sitio [cerrado]

Tengo un sitio web y observo una gran cantidad de tráfico de robots, supongo que al intentar extraer datos del sitio. Logré detectar algunos tráficos con scripts o límites de velocidad de IP, pero veo que no puedo detectar el acceso que utiliza...
hecha 10.10.2017 - 05:55
1
respuesta

Descargando un archivo en mi sitio web, con y sin un secreto. ¿Una habitación para mejorar? [duplicar]

Estoy intentando crear un sistema de descarga simple como parte de mi sitio web. ¿Hay algo inseguro en esta ruta? GET https://my_website.com/downloads?file_id=AAA&user_id=BBB&secret=CCC Donde user_id y el código son opcionales pa...
hecha 18.10.2017 - 03:37
1
respuesta

Seguridad de un sessionID almacenado en un div en la fuente de la página

Acabo de encontrar una aplicación web que parece almacenar mi actual sessionID en forma de un elemento div , que no se muestra en la página web. Este es un método extraño, pero para ser honesto, no veo un riesgo real de segurid...
hecha 16.10.2017 - 07:44
1
respuesta

Riesgos de seguridad al manejar archivos ZIP en aplicaciones web

Estoy investigando posibles riesgos de seguridad al manejar archivos ZIP, o archivos en general, en aplicaciones web. El escenario es el siguiente. El usuario puede cargar cualquier archivo ZIP (o en general, un archivo), la aplicación web ex...
hecha 28.08.2017 - 08:42
1
respuesta

Omisión del mecanismo de coincidencia de URL de Blackbox para un redireccionamiento abierto

Actualmente estoy probando una aplicación web, que parece tener una vulnerabilidad de redireccionamiento abierta, ya que reciben un parámetro redirect_url a través de GET. La aplicación redirige al usuario a esta URL más adelante. Sin emb...
hecha 14.09.2017 - 09:06
1
respuesta

Posibles riesgos adicionales de usar Docker en servidores de producción

¿Cuáles son los riesgos de seguridad agregados de usar un contenedor acoplado para implementar un servidor de producción? No está interesado en los riesgos que existirían de todos modos en la implementación de un servidor de producción de l...
hecha 07.09.2017 - 08:15
1
respuesta

Mejores prácticas para almacenar y enviar huellas digitales del navegador a puntos finales protegidos

Tengo una API grande y JSON Web Tokens (JWT) utilizados para la autorización del usuario. Estos tokens se validan en el frontend (proxy nginx) con el código Lua. Ahora quiero asegurar mi API un poco más con las huellas digitales del navegador. L...
hecha 06.11.2017 - 12:01
1
respuesta

Algunos bot siguen publicando esto en mi servidor

Algunos bot siguen publicando cadenas como esta en mi servidor. ¿Qué significan y cuál es la mejor manera de prevenirlos? RaxfkI/IZARdmslPRT3qzmMmaAmJOQ1i3lJWx9f4jJBQ0fVChoXCF3hlRjvticMkgEQxR7RKxb8uWfcbQa9jRqW8JFfOAykAsg7Nkf6MdScjE0bgyo075...
hecha 28.10.2017 - 19:45
1
respuesta

Usuario autenticado en movimiento para un servicio diferente

Esta es una de esas situaciones en las que "ni siquiera sé lo que no sé". Lo siento si suena confundido o cometo errores de novato. Cualquier ayuda, incluyendo material de lectura, sería apreciada. Estoy intentando crear un servicio que se ba...
hecha 29.06.2017 - 18:51
1
respuesta

¿Tiene sentido el token de Anti-falsificación si las solicitudes de origen cruzado no son compatibles?

Si mi sitio solo responde a solicitudes de su propio dominio, ¿tiene sentido implementar tokens CSRF en mis solicitudes? Creo que es el sitio cruzado en CSRF lo que me lleva a hacer esta pregunta. Si solo se ignoran las solicitudes entre s...
hecha 01.08.2017 - 09:00