Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

¿Por qué PHPs $ _REQUEST se considera malo?

De acuerdo con la hoja de trucos PHP de OWASP :    Se desaconseja enfáticamente el uso de $_REQUEST . Este súper global no se recomienda ya que incluye no solo los datos POST y GET, sino también las cookies enviadas por la solicitud. T...
hecha 12.10.2017 - 11:20
1
respuesta

¿Por qué los nombres de clase deben estar en la lista blanca?

Estoy utilizando la Aceptar la estrategia de validación bien conocida para sanear las opiniones de los usuarios (HTML enriquecido) y utilizando un componente de terceros para hacer esto. El componente por defecto requiere que cada nombre de...
hecha 12.10.2017 - 04:57
1
respuesta

¿Seguridad por diseño basada en un marco existente o un diseño personalizado?

Personalmente hago la mayor parte del desarrollo en PHP (el lenguaje de programación no importa para esta pregunta). Los frameworks PHP populares a lo largo de los desarrolladores son, por ejemplo: CodeIgniter Laravel Symfony A...
hecha 03.08.2016 - 11:49
1
respuesta

¿Cómo mejora la seguridad la función “publicar / redirigir / obtener patrón”?

¿Cómo mejora la seguridad el patrón "publicar / redirigir / obtener" (PRG)? Veo el principio de "confirmación mediante redundancia", pero no entiendo cómo podrían contrarrestar los riesgos. Como desarrollador de redes, veo una oportunidad par...
hecha 19.05.2017 - 19:48
1
respuesta

¿Alguna vulnerabilidad de seguridad al usar nombres de archivos generados desde la base de datos?

Bien, por ejemplo, supongamos que tiene las configuraciones almacenadas en una base de datos donde el usuario selecciona el idioma del sitio. Por ejemplo, diga que el idioma que eligieron era inglés y ahora tiene una configuración de en...
hecha 21.11.2016 - 19:06
2
respuestas

¿Una página de búsqueda vulnerable a XSS afectará a otros usuarios?

Si logro ingresar javascript en una barra de búsqueda de sitio web que luego ejecutará javascript en la página de resultados, solo se ejecutará en mi sesión local en mi navegador, ¿no? Entonces, a menos que el sitio web almacene mi consulta rell...
hecha 08.11.2016 - 19:17
1
respuesta

¿Dónde debo almacenar una clave privada para una aplicación web?

Puede ser un duplicado de " ¿Cómo almacenar una clave RSA privada para una aplicación? " Así que me pidieron que hiciera una interfaz web en PHP que permita a los visitantes verificar la firma de un archivo utilizando SHA 256 con cifrado RS...
hecha 23.11.2016 - 19:08
3
respuestas

Enviar información confidencial a través de un enlace de autodestrucción en un correo electrónico

Necesito encontrar una forma sencilla para que las personas dentro de la empresa envíen información confidencial arbitraria a destinatarios arbitrarios. Existe la misma posibilidad de que el remitente y el destinatario utilicen una máquina MAC o...
hecha 23.05.2016 - 12:40
3
respuestas

Metodología Bug Bounty para un novato [cerrado]

Pregunta : una vez que me uno a un programa de recompensas de errores y empiezo a buscar errores en un sitio web, ¿cómo empiezo a buscar errores de manera eficiente? Estoy muy familiarizado con las vulnerabilidades comunes (XSS, inyección de...
hecha 16.04.2016 - 02:53
2
respuestas

¿El shell inverso bloquea el servidor web?

Por lo tanto, actualmente estoy jugando con DVWA y, al explotar la inclusión de archivos locales, vulnero el binario nc.exe en el servidor de destino y ejecuto un shell inverso en mi máquina. Sin embargo, me doy cuenta de que una vez que se obti...
hecha 07.06.2016 - 12:42