Preguntas con etiqueta 'web-application'

preguntas con etiqueta
4
respuestas

¿Cuál es la forma correcta de almacenar cadenas de conexión de base de datos desde el punto de vista de la seguridad?

¿Cuáles son las recomendaciones, las mejores prácticas y las tareas pendientes relacionadas con el manejo de cadenas de conexión en aplicaciones web? ¿Qué cosas nunca se deben hacer?     
hecha 12.11.2010 - 04:49
1
respuesta

Enmascarando adecuadamente las tarjetas de crédito

Me pregunto si el siguiente enmascaramiento de la tarjeta de crédito se consideraría compatible con PCI. ######??????#### # Is plaintext ? is redacted La fecha de caducidad está disponible en texto simple ¿Es razonablemente factible i...
hecha 19.07.2016 - 14:20
6
respuestas

Anuncios que aparecen en nuestra aplicación cuando no deberían ser

Recibí un problema extraño reportado por uno de mis usuarios de aplicaciones web. Aparentemente, obtienen "anuncios" dentro de la ventana del navegador cuando utilizan mi aplicación. No agregué anuncios en absoluto. Es una aplicación web ASP....
hecha 09.05.2014 - 12:10
4
respuestas

¿Por qué debo usar la lista blanca en un WAF?

Estaba estudiando diferentes WAF, desde código abierto (como ModSecurity y NAXSI) hasta soluciones comerciales (Imperva, Citrix, Fortinet, etc.). Muchas personas afirman que tener un WAF basado en listas blancas es mucho más eficiente que la lis...
hecha 21.01.2015 - 13:21
3
respuestas

¿Qué tipo de ataque fue este?

Así que nuestro sitio web fue pirateado, y estas son las cosas que se hicieron: Se han cambiado algunas entradas en la base de datos. No sé si esto fue a través de inyección de SQL o acceso directo a la base de datos (solo se permite a la r...
hecha 14.05.2013 - 08:53
2
respuestas

¿Cómo protegerse contra ataques de clickjacking pero permitir iframes legítimos?

Soy consciente de los enfoques modernos contra el clickjacking, como el encabezado X-Frame-Options o los scripts de framekiller. Pero todas estas tácticas impiden que el contenido esté dentro del iframe. ¿Pero qué sucede si hay un requisito para...
hecha 19.07.2012 - 21:02
2
respuestas

Implicaciones de los métodos Trace / Track en Apache

Al realizar exploraciones de vulnerabilidades con Nessus, contra un host que ejecuta Apache, un resultado esperado siempre es "Métodos HTTP TRACE / TRACK permitidos". Si bien este resultado solo tiene un CVSS base de 4.3, siempre recomiendo que...
hecha 29.09.2011 - 12:54
2
respuestas

¿Se debe permitir al usuario guardar la contraseña en el navegador?

La empresa de auditoría encontró un error "El atributo de formulario Autocompletar se establece en el campo de contraseña". Ellos sugirieron desactivar el autocompletado en este campo para evitar que se divulgue "cuando se trabaja en entornos co...
hecha 02.02.2012 - 13:14
3
respuestas

¿Qué medidas de seguridad se deben tomar al ejecutar un servidor web de Linux desde nuestra oficina?

Estoy interesado en ejecutar el servidor web de nuestra empresa desde nuestra oficina local. La oficina utiliza el uso compartido de archivos y dispositivos NAS entre otros protocolos de oficina comunes. Los peores escenarios posibles que he ima...
hecha 21.10.2015 - 15:47
5
respuestas

¿Deben los sitios web deshabilitar el autocompletar formularios en todos los formularios?

Me he dado cuenta de que algunos escáneres de seguridad de aplicaciones web marcan la función 'Autocompletar' de algunos sitios web (en los campos de nombre de usuario / contraseña) como un riesgo de seguridad y, por lo tanto, sugieren incluir...
hecha 10.04.2013 - 00:02