Preguntas con etiqueta 'web-service'

preguntas con etiqueta
1
respuesta

Control de acceso a la API pública

Estoy trabajando en una API pública para el proyecto X. El sistema permite registrar un app_id y llamar a los métodos de la API, como de costumbre. Ahora, necesito desarrollar un cliente móvil oficial para el proyecto X que debería tener más pos...
hecha 12.06.2015 - 13:07
1
respuesta

¿Hay algún problema de seguridad si envié el token de seguridad, emitido desde un IdP de confianza, a Java?

¿Hay algún problema si envié el token de identidad, que se ha emitido desde un IdP de confianza, al código javaScript para usarlo en una llamada Ajax a un método web con autenticación? ¿Existe algún problema de seguridad al hacer eso si el to...
hecha 09.12.2014 - 12:51
1
respuesta

Modelo de Bell-LaPadula y servicios compuestos

El modelo de Bell-LaPadula es útil para el control de acceso. ¿Puedo usar este modelo para el control de acceso en servicios compuestos? El nivel de seguridad de cada servicio se exporta desde el archivo WS_SecurityPolicy.     
hecha 26.04.2015 - 21:52
1
respuesta

Convertir de forma segura archivos no confiables con Microsoft Word en un servicio web

He creado un pequeño servicio web que obtiene urls, los descarga y los convierte a otro formato. La mayoría de esas direcciones URL son documentos (doc, docs, ...). Básicamente, los abro con MS-Word y convierto su tipo. Otro supuesto crítico...
hecha 29.05.2014 - 10:33
1
respuesta

Servicio de compras en línea descentralizado [cerrado]

¿Sería posible crear un servicio de compras en línea como Amazon (o Silk Road), pero también descentralizarlo para que los usuarios del servidor principal no tengan que confiar en sus datos? Me imagino que el enfoque p2p podría funcionar aquí...
hecha 10.11.2013 - 17:31
1
respuesta

Protegiendo los mensajes SOAP

Uno de mis clientes desea cifrar poca información confidencial que se transferirá a través de servicios web / SOAP. Mi cliente tiene las siguientes sugerencias: Cifre los datos confidenciales con AES de 128 bits mediante CTR y relleno....
hecha 04.02.2013 - 10:59
0
respuestas

javax.xml. * Explotación XXE

Durante un compromiso de Pentest, encontré una vulnerabilidad XXE en un servicio web SOAP escrito en Java, el sistema operativo es Windows Server y estoy tratando de demostrar qué tan grave es la vulnerabilidad. El problema es que solo puedo lee...
hecha 06.11.2018 - 21:47
0
respuestas

Cómo permitir que cualquier número de servidores externos se registren de forma segura para recibir actualizaciones de mi propio servidor

Mi escenario es el siguiente: Por un lado, tengo un solo servidor ejecutando una aplicación, que controlo completamente. Por otro lado, puede haber cualquier número de otros servidores que tengan que conectarse a mi servidor instalando una pe...
hecha 02.10.2018 - 15:11
0
respuestas

¿Por qué alguien querría tener acceso prácticamente a una fuente de servlet JSP?

He visto en línea varias veces formas de explotar servidores web como httpd usando conectores como tomcat para exponer el código fuente de un archivo .jsp cuando no se supone que deba hacerlo. Por ejemplo, agregar %01...
hecha 07.12.2018 - 18:49
0
respuestas

¿Cuál es la mejor manera de rastrear a un usuario registrado?

Tenemos una aplicación cliente / servidor donde el cliente es el navegador que ejecuta nuestra aplicación JavaScript y el lado del servidor es una aplicación ASP.NET que presenta una API RESTful. Actualmente tenemos 1 instancia del servidor,...
hecha 22.08.2018 - 19:44