Todas las preguntas

1
respuesta

¿Cómo evitar mysql_real_escape_string para explotar una vulnerabilidad de SQLi?

Intenté encontrar algunas vulnerabilidades de inyección de SQL que podrían pasar por alto funciones que deberían evitar las vulnerabilidades de inyección de SQL, por ejemplo, mysql_real_escape_string . Encontré un exploit y el autor desc...
pregunta 24.08.2016 - 16:37
1
respuesta

¿Los motores de búsqueda verifican los certificados HTTPS y, de ser así, con qué CA?

Por curiosidad, me pregunto si los motores de búsqueda intentan validar los certificados y cuál es su almacén de confianza. ¿Aceptan todo independientemente de la confianza / validez del certificado o solo tienen en cuenta las páginas obtenidas...
pregunta 22.07.2016 - 01:51
2
respuestas

¿Por qué OAuth2 exige credenciales de cliente en un encabezado de autorización?

En la sección 2.3.1 del Marco de Autorización OAuth 2.0, indica:    El servidor de autorización DEBE admitir la autenticación HTTP básica   esquema para autenticar a los clientes a los que se les emitió una contraseña de cliente. Contin...
pregunta 14.12.2013 - 09:24
1
respuesta

XSS a través de PDF cuando Contenido-Disposición: ¿Inline?

Aquí hay una especie de dos preguntas: ¿Es posible tener XSS en un archivo PDF cuando la Disposición de contenido: está "en línea"? Si es posible, ¿el pdf obtiene acceso a las cookies para ese dominio de la misma manera que si fuera un arc...
pregunta 30.04.2014 - 19:34
1
respuesta

¿Qué técnica forense remota podría usarse para descubrir un malware que se ejecuta a través de una inyección de proceso?

Una pieza de malware se está ejecutando en una máquina con Windows 7 a través de la inyección del proceso, por lo que no aparece en una lista de procesos. ¿Qué técnica forense remota podría usarse para descubrir que el malware se está ejecutando...
pregunta 08.08.2016 - 22:08
2
respuestas

¿Cómo puedo habilitar el cifrado oportunista para mi sitio web?

Según una mención honorífica en una respuesta para « ¿Por qué los https autofirmados son menos confiables que los http no encriptados? », parece que ya hay dos borradores posteriores a Snowden que tienen que ver con el tema exacto del cifrado op...
pregunta 30.06.2014 - 00:55
1
respuesta

¿Cómo se puede emitir un certificado de intranet de confianza si se están eliminando gradualmente?

Acabo de ver este artículo sobre eliminación gradual de nombres de intranet en certificados SSL . Sin embargo, las CA como como esta afirman que aún las emiten y serán "Confiables por todos los navegadores populares ", aunque estén listado...
pregunta 19.01.2014 - 13:25
1
respuesta

¿Puede un entorno Linux ser compatible con PCI si el archivo de intercambio no está cifrado y los PAN se cargan en la RAM?

¿Puede un entorno Linux ser compatible con PCI si la partición / archivo de intercambio no está cifrada y los PAN se cargan en la RAM mediante una aplicación?     
pregunta 29.07.2014 - 14:35
2
respuestas

Tiempo promedio antes de que se detecte un malware en el mundo

En realidad, estoy trabajando en una presentación sobre el malware Careto. Me impresionó mucho el tiempo que tardó en descubrirlo (al menos 6 años, según algunos sellos de compilación), así que para mejorar mi presentación, estoy buscando estadí...
pregunta 13.05.2014 - 21:29
3
respuestas

Dónde guardar el archivo de clave utilizado como clave compuesta para Keepass 2

Solía usar una contraseña maestra y "Cuenta de usuario de Windows" para ingresar a mi base de datos de contraseñas con Keepass 2. Luego me di cuenta de que la opción "Cuenta de usuario de Windows" es basura porque si alguna vez desea actualizar,...
pregunta 21.01.2014 - 08:36