Preguntas con etiqueta 'web-application'

preguntas con etiqueta
5
respuestas

¿Cuál es la falla de seguridad en este ejemplo de "parámetros mágicos"?

Estoy leyendo Guía de pruebas OWASP v3 :    Ejemplo 1: Parámetros mágicos       Imagina una aplicación web simple que acepta un par de valor-nombre de "magia" y luego el valor. Para simplificar, la solicitud GET puede ser: http://www.h...
hecha 07.03.2014 - 08:10
3
respuestas

¿Alterando una variable $ _SESSION en PHP a través de XSS?

No estoy seguro si lo que estoy diciendo tiene sentido ... pero ¿es posible para mí modificar una variable $ _SESSION desde fuera del script PHP de destino? Uno de nuestros scripts utiliza una variable $ _SESSION y no estoy seguro de si es vu...
hecha 09.02.2011 - 12:31
3
respuestas

¿Es este un ataque web que debería preocuparme? Intentar ingresar el código para las variables de formulario

He creado un script CGI simple que se ejecuta en un servidor web donde un usuario puede iniciar sesión con un nombre de usuario y contraseña. El nombre de usuario y la contraseña se ingresan a través de un formulario html y el formulario envía l...
hecha 10.11.2012 - 11:36
2
respuestas

Cifrado de extremo a extremo encima de HTTPS / TLS

Necesito crear una aplicación web PHP que almacene algunos datos ingresados por el usuario. Estos datos solo deben ser legibles para algunos usuarios selectivos del sistema (incluido el usuario que los creó). Los administradores del servidor u o...
hecha 10.01.2018 - 10:03
3
respuestas

Prevención de CORS y CSRF para una API basada en REST

Actualmente estoy tratando de ver cómo prevenir el CSRF. Mi primera solución fue usar un token que se sugiere en todas partes. Eso, por supuesto, solucionaría este problema: <img src="http://api.example.com/me/delete">Peroloquenopuedo...
hecha 08.06.2015 - 13:52
2
respuestas

Penetrar probando aplicaciones web Java

Primero lo primero; Esto es algo que nunca he hecho antes. Tengo una aplicación web escrita en Java (JSP y Servlet) y uso MySQL como la base de datos. La aplicación se implementa en Amazon EC2, una instancia de Ubuntu configurada por mi cuent...
hecha 09.10.2015 - 08:01
2
respuestas

¿Qué es la creación de scripts entre sitios? [duplicar]

Primero pregunto, ¿hay una definición absoluta? He hecho un poco de Google y parece que todos dicen algo diferente. En SO dice una persona    Existe una vulnerabilidad XSS siempre que una cadena fuera de su   La aplicación puede inte...
hecha 21.07.2012 - 23:34
4
respuestas

¿Qué ataques XSS no derrota la "Protección reflectiva XSS"?

Ha pasado bastante tiempo desde que he jugado con las vulnerabilidades de secuencias de comandos entre sitios, pero hoy me encontré con un sitio web que pedía una vulnerabilidad básica de XSS. Así que obedientemente escribí: http://example....
hecha 16.11.2012 - 13:02
4
respuestas

¿Existe un riesgo de seguridad en la existencia de esos encabezados HTTP en las respuestas?

Los siguientes encabezados HTTP se pueden ver en las respuestas en algunos sitios: Edad: 12 Contenido-MD5: Q2hlY2sgSW50ZWdyaXR5IQ == Vía: 1.1 tacoma: 3128 (calamar / 2.7.STABLE9) X-Cache: MISS from tacoma Búsqueda de caché X: MISS fr...
hecha 08.05.2012 - 21:44
2
respuestas

¿Cumple TDE con PCI?

Según PCI, se puede almacenar en la base de datos siempre que se utilice una criptografía sólida. No pude encontrar qué criptografía se considera fuerte según PCI. Aquí está el problema: tengo números PAN almacenados como texto sin cifrar en una...
hecha 30.07.2013 - 11:56