Todas las preguntas

1
respuesta

Mejores prácticas para la seguridad de datos en una aplicación web

Leí un par de artículos sobre privacidad / seguridad, pero aún no puedo obtener una idea clara de las mejores prácticas para garantizar que un atacante no pueda acceder a la información privada de los usuarios. Para almacenar contraseñas u ot...
pregunta 28.01.2014 - 22:11
1
respuesta

se le puede enseñar a Veracode a aceptar mitigaciones que aún no reconoce

Veracode ( enlace ) tiene ciertas bibliotecas de codificación de parámetros en las que confía. Otros están etiquetados como defectos. Si estoy satisfecho con otro método de codificación de parámetros destinado a detener XSS, ¿puedo decirle a Ver...
pregunta 03.12.2013 - 23:15
1
respuesta

Diseño de Honeypot de alta interacción

He estado escribiendo un honeypot de alta interacción que ha requerido algunas decisiones de diseño interesantes, por ejemplo, quiero que el honeypot sea atacado, no la infraestructura / software subyacente. Cosas divertidas. Sin embargo, ten...
pregunta 26.06.2013 - 09:00
1
respuesta

¿Debo instalar mi Autoridad de certificación subordinada en el controlador de dominio? ¿Por qué?

Debo instalar una PKI en mi organización. Trabajo en un entorno de windows. Ya he establecido una CA fuera de línea. Ahora debo instalar una CA subordinada. Tengo la opción de instalar la CA subordinada en un controlador de dominio o en un servi...
pregunta 27.12.2014 - 12:30
2
respuestas

¿El pasaporte biométrico es más seguro que el pasaporte antiguo?

Nuestro gobierno alienta a los ciudadanos a pasar a los "pasaportes inteligentes", que contienen datos biométricos como las huellas dactilares. Dicen que es más seguro para nosotros porque evita los robos de identidad. Por otra parte, algunas...
pregunta 14.12.2014 - 08:16
1
respuesta

¿Qué método podría usar un atacante de caja blanca para rastrear la eliminación de memoria / archivos?

Una pregunta bastante teórica: asumiendo que hay memoria con un malware dentro de ella. El objetivo del malware es detectar si una aplicación legítima está a punto de eliminar el contenido de la memoria. Si se reconoce, el malware copiará las...
pregunta 22.10.2014 - 11:04
1
respuesta

¿Cómo se autentica un servicio Tor oculto solo en confiar en la dirección?

Aunque estoy fascinado por la forma en que es posible crear servicios ocultos con Tor, hay algunos detalles sobre el problema de colisión de direcciones que parece que no puedo entender. Cita de Nombres de servicio ocultos en la wiki de Tor...
pregunta 18.11.2014 - 16:13
1
respuesta

Protocolos del agente de autenticación para SSH

¿El protocolo descrito en enlace está implementado por algún agente ssh? El mensaje implementa un protocolo diferente al igual que ssh-agent de OpenSSH .     
pregunta 13.12.2014 - 17:39
2
respuestas

¿Tarjeta inteligente para clave privada RSA para SSL?

Tengo un YubiKey NEO que tiene muchas capacidades sorprendentes como OTP, U2F y tarjeta inteligente PGP para PGP / GPG e incluso llaves SSH. Una de las aplicaciones que he descubierto recientemente para el dispositivo es un applet PIV que pu...
pregunta 31.12.2014 - 22:17
2
respuestas

¿Vale la pena instalar la misma aplicación web en diferentes tipos de servidores web en una evaluación de vulnerabilidad?

Al realizar una evaluación de vulnerabilidad web con herramientas como Acunetix y w3af, ¿vale la pena instalar la misma aplicación web en varios tipos de servidores web (Apache, IIS, etc.)? Si se pudieran encontrar diferencias, en los resulta...
pregunta 08.02.2015 - 20:21