Preguntas con etiqueta 'web-application'

preguntas con etiqueta
3
respuestas

¿Usar GET para enviar un nombre de usuario / contraseña? [duplicar]

Por lo que entiendo, usar GET para enviar nombres de usuario / contraseñas es un problema de seguridad porque el nombre de usuario / contraseña son parte de la URL que puede aparecer en el historial del navegador. ¿Esto sigue siendo un prob...
hecha 07.10.2013 - 16:29
2
respuestas

¿Cómo puedo demostrar la inclusión de archivos remotos a través de métodos get?

He estado probando mi aplicación web PHP para detectar vulnerabilidades de RFI. Mientras realizaba el escaneo, pude realizar una RFI en mi aplicación web. Escenario: En mi aplicación web, RFI funciona solo cuando la sesión del usuario esta...
hecha 08.03.2016 - 07:16
2
respuestas

¿Verificación de dos factores sin un teléfono móvil?

Actualmente, algunos servicios utilizan una segunda capa de visualización si inician sesión desde un nuevo dispositivo: Gmail y Facebook envían un mensaje de texto o llaman con un código Facebook genera un código en la aplicación móvil...
hecha 05.09.2014 - 12:36
1
respuesta

¿Problemas con CSRF en una aplicación web "sin estado"?

Así que he desarrollado una aplicación web, que también tiene una API. La API admite solicitudes GET y POST. La API es completamente sin estado, significa que nada se almacena o modifica en una base de datos / archivo cuando se usa. La API (¡...
hecha 12.12.2015 - 22:39
2
respuestas

¿Permitir que la etiqueta de citar cree alguna vulnerabilidad de XSS?

Backstory: el analizador de bajadas de Stack Stack permite un par de etiquetas HTML ( a,b,i,img ) a través, con algunas restricciones en los atributos para evitar XSS. Estamos pensando en solicitar que la etiqueta <cite> se...
hecha 13.03.2014 - 20:50
2
respuestas

Metodologías de prueba de seguridad API

He estado encontrando cada vez más clientes que necesitan sus puntos finales de API (generalmente REST) analizados para detectar vulnerabilidades y quería llegar para ver si alguien tiene algunas recomendaciones más allá de lo que he estado haci...
hecha 05.02.2014 - 22:34
1
respuesta

¿Cuáles son las implicaciones de seguridad de habilitar CORS para imágenes?

La empresa para la que trabajo ejecuta un servidor de fotos de perfil de usuario. Me gustaría buscar, modificar visualmente (agregar un desenfoque, algunos efectos, etc.) y mostrar esas imágenes en <canvas> . El problema es que el se...
hecha 27.05.2016 - 16:09
1
respuesta

Llamar funciones de JavaScript desde una etiqueta de estilo XSS

He identificado un XSS en la aplicación de un cliente donde no se ha podido desinfectar correctamente una variable. Sin embargo, la aplicación está escrita en ASP.NET 2.xy tienen la validación de solicitudes activada. Soy consciente de la sig...
hecha 16.09.2013 - 21:22
2
respuestas

Inyección de SQL: automatización de la toma de huellas dactilares del DBMS

Tengo un problema. Espero que alguien pueda ayudarlo con respecto a las huellas dactilares del DBMS usando inyección SQL, de una manera automatizada y con script para determinar el DBMS de manera precisa y confiable. Estoy en el proceso de...
hecha 11.04.2013 - 10:25
1
respuesta

¿Las aplicaciones web y las bases de datos que se ejecutan en AWS EC2 necesitan un IDS / IPS?

He buscado en Google para obtener información sobre aplicaciones web o bases de datos que se ejecutan en AWS EC2 y que necesitan IDS / IPS o no. Presentaré mis hallazgos hasta aquí, pero será bueno si ustedes pueden confirmar estos hallazgos...
hecha 27.03.2013 - 23:57