Todas las preguntas

1
respuesta

¿Es fácil de proteger contra la inyección de SSI?

La inyección SSI es, según mi entender, el proceso de inyectar comandos en los campos de entrada del usuario, por ejemplo. <!--#exec cmd="ls" --> para obtener los archivos en el directorio actual. Sin embargo, aunque p...
pregunta 06.04.2016 - 19:04
1
respuesta

¿Peligro de extensión del navegador sin ningún permiso?

Suponiendo que una extensión para Firefox o Chrome no solicite Permiso de WebExtensions , ¿qué daño podría hacer esta extensión? O dicho de otra forma: ¿qué acciones (potencialmente maliciosas) puede realizar una extensión sin permisos que u...
pregunta 20.10.2018 - 07:12
2
respuestas

Cómo construir imágenes arbitrarias de Dockerfile sin comprometer al host

Estoy creando un servidor que construirá imágenes directamente desde Dockerfile: docker build -t arbitrarydocker . Este archivo docker se construirá en el mismo servidor que los otros Dockerfiles del cliente, que pueden tener secretos. ¿Cóm...
pregunta 08.01.2018 - 21:54
0
respuestas

¿Hay una buena manera de almacenar tokens OAuth2 para una aplicación nativa?

Actualmente tengo una aplicación de PC nativa que crea y carga una configuración en un dispositivo Linux incorporado (es decir, el cliente). Este dispositivo se conecta a Google Calendar a través de su API OAuth2. La configuración requiere:...
pregunta 22.12.2017 - 04:32
2
respuestas

Utilizar correctamente los archivos que tienen claves

Tanto KeePass como Veracrypt le permiten proteger su base de datos de contraseñas y contenedores con una contraseña y archivos de claves. Mi pregunta tiene que ver con el almacenamiento y el uso en una computadora de nivel de usuario local (casa...
pregunta 18.01.2018 - 15:44
0
respuestas

Proxy completamente transparente

Por defecto, mitmproxy usará su propia dirección IP local para sus conexiones del lado del servidor. Lo que quiero, en cambio, es que mitmproxy use la dirección IP del cliente para las conexiones del lado del servidor. Se proporciona la sigui...
pregunta 07.03.2018 - 09:45
2
respuestas

sesión de Meterpreter a través de VPN

Tengo la siguiente situación: Máquina atacante conectada a un enrutador con IP pública asignada desde ISP, reenvío habilitado. La máquina víctima se conectó a otro enrutador, (obviamente) se asignó una IP diferente de un ISP diferente....
pregunta 31.03.2016 - 13:48
0
respuestas

diferencia entre arranque seguro y certificación

¿Cuál es la diferencia exacta entre el inicio seguro y la certificación del dispositivo? Hoy en día, con los dispositivos seguros, ambos se utilizan, al mismo tiempo, cuando en el núcleo hacen cosas similares, que es la verificación del software...
pregunta 29.11.2018 - 11:58
0
respuestas

¿Las conexiones TLS de larga duración representan un riesgo para la seguridad?

Me gustaría entender mejor las implicaciones de mantener una conexión TLS de larga duración (horas, días) con respecto a la revocación de certificados. Según entiendo TLS, el cliente verifica el certificado del servidor durante el protocolo de e...
pregunta 30.05.2018 - 23:02
0
respuestas

Buscando recursos para interpretar mis registros de seguridad

Actualmente estoy configurando un servidor web Apache en una máquina Linux en mi casa. Estoy trabajando en un proyecto de sitio web que permitirá a los usuarios iniciar sesión para completar cierto trabajo. No hay inscripción abierta en este sit...
pregunta 10.04.2018 - 21:07