Preguntas con etiqueta 'web-application'

preguntas con etiqueta
2
respuestas

Problemas de seguridad de la API REST sin token

Estoy diseñando una API en PHP / MySQL que, por su diseño, no almacenará la contraseña de un usuario en la base de datos y, por lo tanto, no genera tokens de autorización para que el cliente los tenga. La razón de esto es para evitar cualquier p...
hecha 16.10.2013 - 22:47
1
respuesta

HIPAA: ¿Cómo debo garantizar los credenciales de acceso a la base de datos de PHI en mi servidor web?

Suponiendo que tengo una base de datos de PHI a la que mi aplicación web necesita acceder, ¿cómo se me exige que asegure las credenciales en el servidor web que utiliza la aplicación web para acceder a esta base de datos? ¿El almacenamiento d...
hecha 21.08.2013 - 19:39
1
respuesta

Uso de la autenticación AD en una aplicación web de acceso público

Soy un administrador de sistemas que trabaja con un equipo de desarrollo que está extendiendo una aplicación web .net de acceso público que actualmente usa la autenticación de formularios con nombres de usuario / contraseñas (hash) almacenados e...
hecha 27.07.2011 - 16:54
1
respuesta

¿Cuánta protección ofrece Kill-Bit a los controles ActiveX?

Tengo algunos controles ActiveX que no deben ejecutarse en el navegador sino solo en mi Front-End particular. Sé que al configurar Kill-Bit, deshabilito su ejecución en las aplicaciones de Internet Explorer y MS Office. Eso es siguiendo las p...
hecha 14.01.2011 - 09:26
1
respuesta

Chrome está almacenando las solicitudes POST de inicio de sesión en su memoria

Estoy iniciando sesión en mi sitio usando Chrome (en Ubuntu). Incluso si cierro la sesión y cierro mi navegador, puedo ver el contenido de la solicitud POST de inicio de sesión (que contiene el nombre de usuario y la contraseña) mediante "Hexedi...
hecha 27.03.2017 - 07:06
2
respuestas

¿Existe algún beneficio de seguridad por no usar cookies?

Estaba leyendo cómo el infame TorMail tenía un modo heredado que permitía que su servicio de correo electrónico se utilizara sin cookies. El artículo implicaba que hicieron esto por cuestiones de privacidad para los usuarios finales. Por lo que...
hecha 04.04.2017 - 00:51
1
respuesta

Exploit SoakSoak inyectado en Wordpress

Hace poco recibí un ataque a mi sitio web y Google advierte a los visitantes que no carguen la página. El malware se encuentra en wp-includes / js / swfobject.js de mi Wordpress y lo eliminé pero aparecí nuevamente. Código de malware: /* S...
hecha 15.12.2014 - 14:52
3
respuestas

¿Se ha reflejado XSS a través del valor de cookie?

Siempre he considerado el XSS reflejado como un ataque que tendría lugar a través de una URL. Entonces, por ejemplo, tendría una URL como la siguiente: http://someSite.com?message=welcome!<script>alert(1);</script> y el mensaje...
hecha 16.10.2014 - 17:48
1
respuesta

Almacene de forma segura las credenciales de los servicios de aplicaciones web en Apache

Estamos ejecutando una aplicación web en python usando wsgi con apache2, y debemos someterla a una prueba de penetración. Los evaluadores explorarán la posibilidad de daños si los atacantes obtienen acceso a la shell como usuario de apache. A...
hecha 13.06.2012 - 18:46
3
respuestas

Pruebas de penetración de aplicaciones web

Tengo un sitio web estático que necesita ser saturado. Solo tiene una forma que actualiza algunos datos en el servidor y la he pentestado con algunas inyecciones ciegos de PHP y SQL. El sitio está alojado en un servidor compartido y tiene cpanel...
hecha 28.10.2012 - 08:21