Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿No es complementario a HIDS, NIDS y WAF?

Supongamos este escenario: Alguien que intenta hackear un sitio web. Simplemente coloque: www.site.com/example.php?=<script>alert(1)</script> Una HIDS vería este intento en el registro de acceso de Apache, a NIDS verí...
hecha 17.03.2014 - 13:06
2
respuestas

¿Cómo funciona la autenticación externa?

Por ejemplo, puedo iniciar sesión en sitios web de stackexchange iniciando sesión en sitios web externos como OpenID, Yahoo, etc. ¿Cómo funciona esto? ¿Cómo se comunican los sitios web (SE y Yahoo, por ejemplo)? ¿Cómo funciona Yahoo! ¿Sabes que...
hecha 17.06.2011 - 15:24
4
respuestas

Caso de aplicación de JavaScript limitado: vectores de ataque y mitigación

Voy a desarrollar una aplicación de JavaScript de una sola página que permite la entrada a través de un área de texto. Esta entrada nunca se envía al servidor, nunca se muestra a otro usuario y solo se conservará en la memoria del navegador mien...
hecha 30.10.2012 - 12:34
2
respuestas

¿Cómo hacer un pentest archivo de Flash en la aplicación web con alowscriptaccess = samedomain?

En el curso de un pentest encontré un archivo de película Flash (swf) que carga otra película Flash a través de loadMovie . El HTML es este: <embed width="388" height="350" src="http://www.domain.com/first_flash.swf?videoload=http://w...
hecha 07.08.2012 - 19:18
2
respuestas

Si la aplicación accede a los datos cifrados en una base de datos, ¿significa que la aplicación tiene la clave de descifrado?

Estoy usando una aplicación vinculada a una base de datos que contiene datos confidenciales (números). Según el desarrollador, estos datos están encriptados. Sin embargo, puedo generar fácilmente un informe que muestre los números en texto claro...
hecha 25.07.2013 - 07:00
1
respuesta

Las aplicaciones web terminan cadenas en null-byte

Acabo de realizar algunas pruebas de penetración en un sitio y he notado (y me he dado cuenta antes, pero ahora parece ser un buen punto para mencionarlo) que poner un byte nulo en la cadena de búsqueda termina la cadena allí. Eso está bien p...
hecha 23.09.2013 - 16:21
4
respuestas

La forma más segura para que múltiples usuarios publiquen en una sola cuenta de red social

Supongamos que tengo un equipo u organización que administra una sola cuenta de Twitter y una única página de Facebook. Los diferentes usuarios deben poder publicar contenido en la misma cuenta. ¿Cómo puedo minimizar el riesgo de que esta cuenta...
hecha 15.03.2013 - 15:29
2
respuestas

Lo que un programador debe saber antes de la auditoría del cliente de su servicio web

Situación: he creado un cliente WS (.net wcf) para el cliente que accede a un servicio web de terceros (Websphere). Este WS usa HTTPS y obtengo un certificado del proveedor de WS. Todo funciona bien, entregué el cliente WS al cliente, el cliente...
hecha 24.01.2011 - 10:24
2
respuestas

¿Cómo se explota el cruce de directorios para atravesar de una unidad / compartir a otra?

Estoy tratando de averiguar si es posible atravesar unidades o recursos compartidos. Si tengo una ruta que está concatenada en una aplicación web, donde el prefijo es una unidad, como esta: var path = "D:\" + Request.Params["directory"]; ¿E...
hecha 28.07.2011 - 22:09
2
respuestas

¿Cuál es la diferencia exacta entre SAMLp y WS-Trust?

Parecen ser similares en la superficie, pero no estoy seguro de cuán profundas son las diferencias. ¿Puede alguien explicarme la diferencia entre SAMLp y WS-Trust? ADFSv2 me permite elegir entre estas opciones y no estoy seguro de cuál elegir...
hecha 21.11.2010 - 16:55