Preguntas con etiqueta 'web-application'

preguntas con etiqueta
0
respuestas

¿Es inherentemente inseguro buscar contenido HTML y JS del servidor y adjuntarlo a un nodo HTML existente (mientras se ejecutan todos los scripts)?

Dos formas de desarrollar una aplicación web: ya sea la forma "clásica", recargando completamente la página con cada solicitud, o la forma "API", es decir, hacer que el servidor solo envíe datos JSON y que el cliente los obtenga por AJAX y recon...
hecha 18.05.2018 - 14:36
0
respuestas

inyección XXE en el nodo raíz del documento XML

Así que estoy en un compromiso y descubrí un punto de inyección XXE en un lugar peculiar en una aplicación ASP.NET que parece que no puedo entender. Uno de los parámetros posteriores controla a qué "formulario" se envía el resto de los datos, y...
hecha 29.06.2018 - 14:27
0
respuestas

¿Cómo pueden Web Crypto API e IndexedDB proteger los datos almacenados en el lado del cliente contra la manipulación del usuario?

Imagine las aplicaciones web que se supone que funcionan sin o con algunas interacciones con el servidor web, por ejemplo: un juego de navegador en el que el nivel y el progreso del jugador se guardarán localmente. un juego, una aplicación...
hecha 01.09.2018 - 09:34
0
respuestas

¿Los esquemas de autenticación REST que exponen la clave compartida están protegidos contra proxies inversos que actúan como agentes de usuario incorrectos?

Recientemente surgió una situación en la que un cliente desea una API pública que no requiera registro o inicio de sesión por parte del usuario (sin contraseña). El equipo de seguridad ha identificado que la API del lado del servidor necesita im...
hecha 28.08.2018 - 03:51
1
respuesta

Beneficio de la validación del tamaño del Mapa de Parámetros en el controlador de la aplicación web

Tengo una aplicación web (Spring MVC) y tengo validación de datos de entrada para cada parámetro en el controlador. Lo que NO está presente es verificar el Mapa de Parámetro aceptado Tamaño . es decir, cuando el controlador esperaba 10 parámetr...
hecha 29.08.2018 - 08:19
0
respuestas

Exponer API protegida sin credenciales de codificación en el Cliente (JS)

Intente exponer la API REST protegida sin exponer las credenciales en el Cliente (Código JS). Todas las soluciones que vienen a mi mente, pueden revertirse y el atacante puede reconstruirlos. ¿Hay soluciones probadas? ¿Mejores prácticas?...
hecha 20.08.2018 - 12:57
0
respuestas

¿Cómo evitarían los atacantes el enlace de token?

El enlace de token no es fácil de implementar en todas las organizaciones para admitir los tokens de portador. El problema con el token de portador es que simplemente tenerlo, incluso si fue robado, será suficiente para usarlo (la misma idea que...
hecha 22.08.2018 - 04:48
0
respuestas

¿Cuál es la mejor manera de rastrear a un usuario registrado?

Tenemos una aplicación cliente / servidor donde el cliente es el navegador que ejecuta nuestra aplicación JavaScript y el lado del servidor es una aplicación ASP.NET que presenta una API RESTful. Actualmente tenemos 1 instancia del servidor,...
hecha 22.08.2018 - 17:44
1
respuesta

Acceso remoto limitado a una aplicación web [cerrado]

Me gustaría configurar una aplicación web node.js muy sencilla en la frambuesa pi y acceder a ella de forma remota, desde fuera de la LAN. No hay otros hosts en esa LAN con la Raspberry. Solo necesito acceder a la aplicación web desde una úni...
hecha 12.06.2018 - 07:24
0
respuestas

Cómo omitir la validación de inclusión de archivos que solo lee la entrada hasta el carácter /

Pongo una validación en mi sitio web que solo lee la entrada hasta el carácter / Mi entrada: http://myweb.com/personal/http://www.malicious.com la salida web: <b>Warning</b>: include(./app/personal/control...
hecha 07.06.2018 - 08:19