Preguntas con etiqueta 'web-application'

preguntas con etiqueta
7
respuestas

¿Debo evitar el envío de solicitudes GET para las URL que normalmente se utilizan con la solicitud POST?

Hay una url que normalmente se opera con solicitudes POST (es decir, la solicitud POST se envía cuando el usuario envía el formulario). Pero el atacante puede formar una solicitud GET con parámetros que se envían en la solicitud POST. Esta solic...
hecha 18.10.2011 - 17:29
4
respuestas

¿Es peligroso el XSS en una aplicación sin base de datos?

Creo que definitivamente no lo es, porque XSS que no se guarda en ningún lugar dañaría SOLAMENTE al atacante. ¿Tengo razón o hay algún caso en el que XSS podría dañar la aplicación que no es de db? (Me refiero a que los datos no se guardan en...
hecha 25.07.2011 - 14:31
5
respuestas

¿Debe un sitio web de código cerrado mantener una clave secreta en su fuente?

Varias API (como Facebook o Amazon S3) requieren una clave secreta para autenticar el acceso al servicio. Obviamente, si el código fuente es público, ¡la clave no debe estar en la fuente! ¿Qué pasa con un sitio web de código cerrado?     
hecha 30.09.2011 - 07:17
5
respuestas

Lista negra vs. caracteres de lista blanca para evitar XSS

He estado leyendo acerca de la prevención XSS en OWASP y otros canales de seguridad. Todos dicen que debo usar ESAPI o una biblioteca similar y hacer el filtrado de entrada a través de un enfoque de lista blanca. Sin embargo, uso un marco (We...
hecha 13.09.2012 - 16:30
2
respuestas

codificación HTML para proteger contra XSS

Mientras revisaba algunas referencias sobre la protección contra XSS, encontré que es una buena práctica codificar datos (ingresados por usuarios) antes de usarlos para generar una página dinámica. No pude encontrar una explicación detallada de...
hecha 14.03.2013 - 10:01
2
respuestas

¿Es seguro compartir un token de acceso a través de la API de mensajería HTML5 entre varios iframes?

Tengo un sitio web principal que integra otros 3 sitios web a través de iframes (sistemas heredados que proporcionan varias funcionalidades con una interfaz de usuario). Actualmente, el usuario tiene que autenticarse con cada uno de los sistemas...
hecha 09.10.2016 - 22:16
2
respuestas

¿Es el control de acceso a través de la DIRECCIÓN MAC una solución práctica / segura?

Ejecuto un pequeño sitio web de juegos locales con un panel de administración personalizado que codifiqué para permitir que los miembros de confianza realicen tareas administrativas a través de la API del software. Dado que su dirección IP es di...
hecha 28.07.2011 - 14:20
3
respuestas

GET vs POST, ¿cuál es más seguro? [duplicar]

He oído hablar de la diferencia programática b / w GET y POST en aplicaciones web. Preguntando por curiosidad cuál es más seguro, el método GET o el método POST en aplicaciones web, espero respuestas también en térm...
hecha 06.04.2013 - 08:21
5
respuestas

¿Estrategia de seguridad de Robots.txt?

¿Hay una manera de tener básicamente una política de permitir todo en su dominio de nivel superior, y cualquier subdominio no lo permite todo? Preferiría que mis servidores de aplicaciones públicas no se indexen, pero por lo que puedo decir, nin...
hecha 31.01.2012 - 03:44
3
respuestas

¿Qué debo hacer para asegurar el inicio de sesión y el registro en mi sitio web?

¿Qué funciones de seguridad necesito tener instaladas para garantizar que los formularios de registro y registro de mi sitio web sean seguros?     
hecha 02.04.2013 - 00:00