Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

Detalles recientes de exploits de XSS en Facebook

Hubo un reciente ataque XSS en Facebook que publicó un mensaje vulgar y logró que los usuarios hicieran clic en un enlace para distribuir la carga útil. ¿Qué vulnerabilidad se explotó y qué pueden hacer otros sitios para evitar un ataque similar...
hecha 12.05.2011 - 16:57
6
respuestas

¿Es seguro autenticar al usuario mediante un enlace de confirmación por correo electrónico?

Cuando un usuario se registra en un sitio web, debe confirmar el correo electrónico para activar la cuenta. Al hacer clic en el enlace de confirmación, el usuario se identifica mediante un hash único para activar la cuenta. ¿Es seguro aute...
hecha 04.10.2016 - 12:18
3
respuestas

¿Qué consideraciones de seguridad simples puedo / debo hacer para una API de solo lectura?

En este momento, estoy configurando una API, que se utilizará en el lado del cliente para configurar un sitio de directorio. Me pregunto qué pasos adicionales debo seguir para evitar que las personas obtengan acceso de escritura a los datos....
hecha 27.05.2013 - 22:14
3
respuestas

¿Cómo explotar la vulnerabilidad de redireccionamiento abierto?

Tengo la siguiente vulnerabilidad de redireccionamiento abierto: <?php $redirectUrl = $_GET['url']; header("Location: $redirectUrl"); ?> Este exploit envía al usuario de tu página a la página del mal: example.com/?url=example.com/fa...
hecha 29.03.2015 - 13:26
1
respuesta

Técnica XSS - y JavaScript Incluir

Estaba revisando la OWASP XSS Filter Evasion Cheat Sheet , y había una técnica completamente nueva para mí:    & JavaScript incluye <BR SIZE="&{alert('XSS')}"> Probé el siguiente HTML: <html> <head>...
hecha 08.08.2014 - 06:29
3
respuestas

¿Se debe borrar el campo de la contraseña después de un intento de inicio de sesión fallido?

Asumamos el siguiente flujo de trabajo para iniciar sesión a) En un dispositivo con teclado: escribo mi nombre de usuario y contraseña presiona enter [realización] hice un error tipográfico El campo de contraseña se borra: no es...
hecha 11.07.2013 - 10:41
3
respuestas

¿Debo pedirle a un usuario que vuelva a autenticarse si la huella digital del navegador cambia? ¿Hay una biblioteca del lado del servidor disponible?

¿Hay algún beneficio de seguridad al usar la huella digital del navegador además de un identificador de sesión para identificar una sesión única? ¿Sería recomendable pedirle al usuario que vuelva a autenticarse (o simplemente actualizar el...
hecha 07.11.2011 - 15:22
3
respuestas

¿Qué tan malo es un ataque XSS autocontenido?

Algunos de ustedes pueden estar familiarizados con este ataque llamado Self Contained XSS. Recientemente me topé con el artículo este al respecto. Entonces, ¿qué tan grave puede ser este tipo de ataque, aunque no tenga acceso a los elementos D...
hecha 23.12.2011 - 10:06
2
respuestas

¿Los sitios RESTful son seguros contra los ataques CSRF?

Tengo un debate con un compañero de trabajo sobre si nuestro sitio es vulnerable a los ataques CSRF. Está diciendo que, dado que estamos utilizando las solicitudes AJAX RESTful para todo lo que CSRF no es posible. Diga que una solicitud para act...
hecha 18.09.2013 - 20:37
1
respuesta

¿Cómo evito que los usuarios modifiquen recursos que no son de su propiedad?

Estoy escribiendo un servidor donde tengo una entidad StoreOwner que "posee" o tiene una relación @OneToMany con una entidad Store (el propietario de una tienda tiene 1 a N tiendas). Cada Store tiene Offer y...
hecha 09.09.2015 - 22:46