Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

cuándo escapar de la entrada del usuario

Me pregunto cuándo es la mejor manera de manejar las entradas de usuario que escapan. Dos opciones vienen a mi mente 1) El usuario envía datos al servidor, lo evitamos y luego lo almacenamos en la base de datos 2) almacenamos los datos tal...
hecha 10.03.2013 - 22:15
4
respuestas

Problemas de seguridad al usar iframes

Estamos buscando movernos a iframes debido a problemas técnicos. Al pasar a los iframes será más fácil gestionar los problemas técnicos. Pero no estamos totalmente seguros de las implicaciones de seguridad de los iframes. Nuestro sitio web se...
hecha 01.04.2012 - 06:07
3
respuestas

Dominio cruzado externo incluye secuencia de comandos

Una de mis aplicaciones web se sometió a una evaluación de vulnerabilidad recientemente, y uno de los hallazgos se relaciona con el script de inclusión de varios dominios. Nuestra aplicación web utiliza addthis_widget.js de AddThis para marcar...
hecha 16.02.2015 - 11:05
3
respuestas

¿Los ataques XSS con estilo WebGoat todavía funcionan?

Estoy realizando los ejercicios de WebGoat para actualizar mi conocimiento de los ataques XSS. Específicamente, estoy haciendo el ejercicio XSS de la Etapa 1. Este ejercicio tiene una forma que deliberadamente no sanea la entrada. El video de...
hecha 27.02.2015 - 11:16
3
respuestas

¿Debo expirar una cookie de sesión cuando las sesiones se manejan en el lado del servidor?

La única información en la cookie es el ID de sesión. No hay una marca de tiempo de caducidad establecida al crearlo, siempre se evalúa una sesión del lado del servidor para ver si ha caducado. Al cerrar sesión, la sesión se destruye del lado...
hecha 08.08.2013 - 09:47
2
respuestas

¿Qué soluciones en caja existen para cuidar la autenticación? Sobre todo centrado en sitios web

Internet está generalmente plagado de sitios web que rompen las reglas básicas de seguridad, luego hay un nivel intermedio en el que el sitio web trata de proteger contraseñas ... pero lo hacen de manera incorrecta. Y finalmente, hay sitios web...
hecha 18.02.2011 - 16:22
2
respuestas

Seguridad de inicio de sesión sin SSL

Tengo una aplicación web sin SSL (sé que no está bien, trato de tomarla como un desafío). El inicio de sesión es de dos pasos. Primero, el administrador sshs en el servidor y ejecuta un programa complementario de mantenimiento que proporciona un...
hecha 05.09.2013 - 15:01
3
respuestas

Ventajas de múltiples tokens CSRF válidos

Según tengo entendido, hay dos enfoques para realizar la protección CSRF: 1) Token CSRF por sesión: el token se genera una vez por sesión. Esta es la forma más fácil; 2) token CSRF por solicitud: el nuevo token se genera en cada solicitud...
hecha 09.02.2014 - 07:33
2
respuestas

script FrameBusting

Es comúnmente conocido que cargar su sitio dentro de un marco en otro sitio, puede exponer su sitio a todo tipo de males, y en general no es una buena idea si tiene datos confidenciales para proteger. Por lo tanto, surgieron los scripts FrameBu...
hecha 21.11.2010 - 01:26
3
respuestas

Detección de archivos del servidor web

¿Cómo se llama cuando un usuario intenta varios intentos para descubrir la estructura de carpetas y archivos en un servidor web? Por ejemplo, ¿el atacante ejecutará http://example.com/test.jpg para determinar si test.jpg existe...
hecha 29.03.2011 - 17:07