Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

¿Debemos impedir el acceso a información no confidencial?

Estoy teniendo una discusión con los desarrolladores a medida que desarrollamos una aplicación web que involucra usuarios, contenido generado por el usuario, un área de administración, API y contenido estático. Cualquier persona puede acceder...
hecha 24.08.2016 - 05:20
0
respuestas

¿Dónde puedo encontrar el código de explotación?

Estoy haciendo VA / PT en una aplicación web de muestra. Ejecuto el escáner Nessus y encontré algunas vulnerabilidades de gran gravedad relacionadas con la página de inicio de administración de sistemas HP. Los números CVE son: CVE-2010-1917...
hecha 04.12.2011 - 11:09
2
respuestas

Si una fuente RSS maneja las comillas y las etiquetas HTML de forma incorrecta, ¿puede considerarse un riesgo para la seguridad?

Estoy tratando de alentar a una organización a que arregle su fuente RSS, que tiene numerosos problemas con la forma en que se muestran las comillas y etiquetas en el texto de origen en los lectores de fuentes. Me gustaría poder decirles que su...
hecha 21.12.2015 - 13:03
1
respuesta

Directory Traversal: ¿Qué efecto tiene esto '?' y '.' tener en la url?

Hice una pregunta en este mismo sitio: No se puede entender por qué la aplicación web es vulnerable a un ataque transversal de directorio , donde me dieron un informe que indica que mi aplicación web era vulnerable. Publiqué algunas muestras d...
hecha 08.09.2016 - 13:00
2
respuestas

¿Cómo aumentan la seguridad los tokens de recursos indirectos y específicos de la sesión?

El sitio web de OWASP recomienda esto : Utilice referencias de objetos indirectos por usuario o sesión. Esto evita que los atacantes se dirijan directamente a los recursos no autorizados. Por ejemplo, en lugar de usar la clave de la base...
hecha 11.07.2013 - 17:42
3
respuestas

Política del mismo origen - Respuesta XHR

Sé que la Política del mismo origen (SOP) impide que una página / secuencia de comandos de un origen a lea la respuesta de otro origen, pero no impide que la página / secuencia de comandos realice una consulta XMLHttpRequest (XHR) Solicitud a...
hecha 24.04.2015 - 00:17
2
respuestas

El usuario malicioso que inflige ataques XSS parece estar en mi propia red

Tengo un proyecto Django en vivo en el que estoy usando nginx como proxy inverso con gunicorn como servidor de aplicaciones. Es un proyecto bastante nuevo y aún no está habilitado para SSL. Hay un usuario en este proyecto que ha estado infligien...
hecha 12.02.2016 - 10:54
2
respuestas

Frameworks o cualquier solución para autenticaciones / seguridad / administración de inicio de sesión en aplicaciones web Java

Estoy buscando un marco / solución para la autenticación / administración de inicio de sesión de usuario / seguridad en la aplicación web java que pueda hacer el trabajo del desarrollador ingenuo más fácil / rápido y hacer la aplicación relativa...
hecha 04.08.2011 - 14:19
1
respuesta

Buena herramienta de seguridad para PHP- Suhosin vs Spike vs PHPIDS

¿Tengo que verificar / probar mi código de antemano, o estas herramientas me informan cuando se realiza un intento en tiempo real? En segundo lugar, ¿a cuál debo ir: Suhosin o Spike o PHPIDS o un combo? ¿Cuáles son las diferencias entre ellos?...
hecha 27.01.2011 - 04:39
5
respuestas

¿Es malo enviar contraseñas simples a través de SSL como parte de un proceso de actualización de contraseña?

La aplicación web en la que estoy trabajando tiene un 100% de seguridad SSL (o más bien, TLS como se llama hoy ...). La aplicación recientemente ha sido auditada por una empresa de seguridad. En general estoy de acuerdo con sus resultados, pero...
hecha 19.06.2014 - 15:49