Preguntas con etiqueta 'web-service'

preguntas con etiqueta
0
respuestas

Pruebas estructurales XML desde la perspectiva de seguridad

Necesito hacer pruebas estructurales XML desde la perspectiva de seguridad. El motivo es probar que mi servicio web / API no es vulnerable ni está protegido contra ataques estructurales XML. También, cómo las pruebas son diferentes en WSDL, JSON...
hecha 09.02.2018 - 06:24
0
respuestas

¿Enviando parámetros confidenciales a la API pública?

Necesito modificar una API REST de acceso público: no segura, todos los GET de HTTP, acceso (teóricamente) limitado por las claves de API. Necesito uno de los puntos finales para aceptar ahora un parámetro adicional, uno que se considera info...
hecha 07.09.2017 - 01:57
0
respuestas

Etiqueta de DTD de seguridad WS en mensaje XML

Estoy probando el servicio web con el mensaje que contiene la bomba XML en la declaración DOCTYPE. El ataque no es posible porque el servicio web devuelve el mensaje: <faultstring>The parser has encountered more than "64000" entit...
hecha 21.01.2018 - 19:11
1
respuesta

¿Qué tan explotable es un código QR en un sistema de inicio de sesión?

Estoy tomando un desafío CTF en un servicio web. El objetivo es recopilar la mayor información posible de un usuario. Tengo acceso a su nombre de usuario y contraseña, pero la contraseña ha caducado y la cuenta debe recuperarse cargando un códig...
hecha 15.10.2017 - 04:24
2
respuestas

¿Cómo funcionan las aplicaciones de banca en línea? [cerrado]

Es sorprendentemente difícil encontrar información concreta sobre ese tema. He trabajado con el marco de trabajo de Flask últimamente y me las arreglé para crear un inicio de sesión adecuado que almacene las contraseñas en una base de datos desp...
hecha 27.07.2017 - 00:20
0
respuestas

Token consciente del tiempo en la seguridad WS (WSSE)

Estoy creando un servidor SOAP con WSSE. Como sugiere la especificación ( enlace ), mi cliente necesita pasar un token (nonce) consciente del tiempo que valida que la solicitud llegue a tiempo para evitar ataques de repetición. Pero mi principal...
hecha 04.07.2017 - 21:08
1
respuesta

certificado SSL que asegura un servicio web local en el que el dominio está alojado externamente

Tenemos un cliente, llamémoslo ABC123 Ltd, que tiene un sitio web existente en abc123.ie alojado por un proveedor de alojamiento. Es solo un sitio informativo sin función de inicio de sesión / comercio, por lo que actualmente solo se ejecuta a t...
hecha 26.07.2017 - 11:24
3
respuestas

Valor de la autenticación entre servicios

Estoy tratando de entender el valor de tener un servicio no público que requiere autenticación de otros servicios que son parte del mismo producto. ¿Es para cuando alguien obtiene acceso a algún otro otro y luego ataca el servicio?     
hecha 23.08.2016 - 03:05
0
respuestas

Seguridad web asequible: enviar una clave privada al servicio a través de HTTPS vs almacenamiento en imagen de disco vs HSM

Actualmente estoy creando una aplicación cuya única complejidad real reside en la seguridad de la clave privada. No me siento cómodo manteniendo la clave privada en la imagen del disco, desde la cual el servidor la leería, así que pensé en crear...
hecha 15.10.2016 - 15:43
1
respuesta

Elección del escenario de seguridad para el servicio / cliente WCF alojado por IIS

Tengo un servidor web (alojado con IIS) en DMZ, tengo múltiples servicios web (WCF), los clientes son aplicaciones que no son de servidor (son aplicaciones .NET independientes) y llegan a estos servicios web a través de Internet utilizando el pr...
hecha 13.05.2015 - 16:30