Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Cómo agrego una cookie a w3af para ataques autenticados?

¿Puede alguien explicarme esto en pasos para mí? Solo digamos que hice clic en el perfil de escaneo Top 10 de OWASP y ingresé la url. A continuación, necesito agregar cookies o valores de autenticación a w3af (autenticación basada en formularios...
hecha 22.12.2012 - 19:09
3
respuestas

Seguridad de Google App Engine

Estoy escribiendo una tesis magistral sobre la seguridad de ciertas aplicaciones y, como parte de ella, quiero escribir una aplicación web en Google App Engine y probar qué tan seguro es. ¿Alguien sabe si se realizó algún estudio sobre la seg...
hecha 26.09.2011 - 20:59
8
respuestas

¿Puede alguien proporcionar referencias para implementar correctamente los mecanismos de restablecimiento automático de contraseñas de las aplicaciones web?

Estamos implementando el restablecimiento automático de la contraseña en una aplicación web, y sé cómo deseo hacerlo (URL de restablecimiento de la contraseña limitada en el tiempo del correo electrónico para los usuarios de direcciones de corre...
hecha 27.01.2011 - 22:39
5
respuestas

¿Debo agregar protecciones donde no entiendo cómo un pirata informático puede romper el sistema?

Digamos que hay una aplicación AJAX donde el usuario puede enviar artículos, comprarlos. Y había un código IF ($_POST[items] > 20) { echo 'error'; } else { do_buy($_POST[items]); echo 'success' } Aquí, se comprueba si item...
hecha 13.07.2014 - 07:51
3
respuestas

¿Por qué Hydra devuelve 16 contraseñas válidas cuando ninguna es válida?

He estado jugando con Hydra y DVWA y he encontrado un pequeño obstáculo: Hydra responde dejando que Sé que las primeras 16 contraseñas en mi lista de contraseñas son correctas cuando ninguna de ellas lo es. Supongo que esto es un error de s...
hecha 06.06.2013 - 02:38
3
respuestas

¿Por qué Hydra devuelve 16 contraseñas válidas cuando ninguna es válida?

He estado jugando con Hydra y DVWA y he encontrado un pequeño obstáculo: Hydra responde dejando que Sé que las primeras 16 contraseñas en mi lista de contraseñas son correctas cuando ninguna de ellas lo es. Supongo que esto es un error de s...
hecha 06.06.2013 - 02:38
1
respuesta

Mejor protocolo para la aplicación web [duplicado]

Tengo muchas aplicaciones web desarrolladas como servidores basados en Node.js horizontalmente escalados con un equilibrador de carga delante de ellos. Al principio, todas mis aplicaciones web expusieron puntos finales HTTP y el equilibrador d...
hecha 19.05.2017 - 00:29
1
respuesta

¿Impedir la mejor práctica en el cruce de caminos?

Script: header("Content-type: text/css; charset: UTF-8"); $var = $_GET['var']; $var = str_replace(array('/', '../'), array('', ''), $var); echo file_get_contents($var); ¿Es posible explotar Path Traversal sin usar barra diagonal? En ot...
hecha 28.06.2017 - 22:05
3
respuestas

¿Cuál es el propósito principal de tener dos dominios apuntando a la misma IP, uno de ellos sin SSL / TLS?

Durante la fase de recopilación de información, encontré que hay otro dominio que apunta a la misma IP que estoy auditando. El primero, "www.domain.com", utiliza TLS, mientras que el segundo, "www-org.domain.com", no lo es. Los dos dominios ofre...
hecha 03.11.2018 - 17:17
5
respuestas

¿Puede proteger una aplicación web de FireSheep sin usar SSL?

Suponga que desea otorgar a algunos usuarios web acceso privilegiado a su sitio web, pero no puede (o no desea) ofrecer SSL a todos ellos, al menos después de la página de inicio de sesión inicial. En este caso, ¿hay alguna forma de administr...
hecha 23.12.2010 - 01:40