Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

Gestión de sesiones para frases de contraseña privadas en una aplicación web

Caso de uso Me gustaría cifrar los datos en una base de datos para una aplicación web. Existen los siguientes requisitos: El descifrado solo debe ser posible cuando un usuario proporciona una frase de contraseña El cifrado siempre deb...
hecha 27.10.2014 - 09:35
1
respuesta

¿Es seguro almacenar tokens de portador en un iframe y / o devolverlos a la ventana principal?

No soy un experto en seguridad, por lo que espero que algunos de ustedes puedan decirme si existen fallas en el diseño de seguridad de mi aplicación web. Con suerte, podré explicar esto lo suficientemente claro como para explicar mi punto. Te...
hecha 27.06.2015 - 06:38
0
respuestas

¿Cuál es el propósito de solicitar un recurso inexistente?

nwolb.com el sitio para Natwest Online Banking (un banco con sede en el Reino Unido) hace dos solicitudes a recursos inexistentes. Por ejemplo: enlace enlace ¿Cuál es el propósito de esto? ¿Es algún tipo de endurecimiento de la seguri...
hecha 03.05.2018 - 21:21
3
respuestas

¿Inclusión de archivos locales cuando la URL se anexa con .php?

Durante el pentesting, encontré un objetivo vulnerable a la inclusión de archivos locales: include("$rootpath/includes/dir/".$_GET["section"].".php"); Cuando visito la URL http://target.com/img?section=images funciona perfectamente...
hecha 29.04.2018 - 13:34
1
respuesta

¿Usar Tor al probar en aplicaciones web que permiten probar y tener programas de recompensas?

Al probar aplicaciones web en vivo que permiten / fomentan la investigación de seguridad & ¿Debería estar enviando mi tráfico a través de Tor? ¿Hay alguna buena razón para no hacerlo? ¿Implica una cierta intención maliciosa que intenta...
hecha 26.06.2013 - 00:03
1
respuesta

Las mejores maneras de conservar la información del cliente de la licencia en la base de datos

Desarrollo un servidor de licencias y un sistema cliente de licencias (aplicaciones basadas en Java). El flujo es el siguiente: La licencia se almacena en el servidor de licencias La aplicación cliente incluye un componente de cliente d...
hecha 16.04.2013 - 08:35
0
respuestas

Enfoque para probar la inyección XXE

He estado discutiendo la inyección xxe en mi aplicación web, Mi aplicación web permite la expansión de las entidades XML proporcionadas por el usuario Lo que hice: Tráfico interceptado utilizando Burp. Se modificó la solicitud con Ac...
hecha 12.01.2016 - 11:03
3
respuestas

¿Este ataque de concepto funciona para cosechar credenciales y 2FA usando un sitio falso sin conexión?

Mi concepto es este: El cliente se conecta a Malicious \ Eviltwin AP El cliente se conecta a www.facebook.com pero este es un sitio sin conexión falso por el servidor falso de dns El cliente ingresa usuario y contraseña --- > e...
hecha 20.10.2015 - 10:07
1
respuesta

Esquema de seguridad y autenticación de la aplicación web RESTful

Estoy creando una aplicación web donde el front-end es una aplicación de una sola página y el back-end la sirve a través de una API RESTful. Quiero asegurarme de implementar la autenticación de usuarios con las mejores prácticas de seguridad....
hecha 30.01.2015 - 03:20
0
respuestas

Una dirección IP propiedad de Google accedió a mi cuenta de Outlook [cerrada]

Hoy recibí una advertencia de Microsoft que decía que había una actividad inusual en mi cuenta. Al profundizar, vi que había un inicio de sesión exitoso desde una dirección IP propiedad de Google (según ARIN). Sin embargo, uso la autenticación d...
hecha 13.05.2014 - 23:31