Todas las preguntas

4
respuestas

¿Cómo se combinan los exploits y las cargas útiles?

Conocí el marco de Metasploit durante algunos años, pero realmente nunca me metí en él. Tengo algunos conocimientos sobre redes, pero no soy un profesional. He probado algunas cosas con Metasploit y tenía curiosidad por una cosa.  (Por favor cor...
pregunta 09.06.2014 - 14:19
3
respuestas

¿Podría considerarse un riesgo el uso de una clave generada desde un servicio en línea?

Con algunos colegas, estamos teniendo un debate sobre el sitio web randomkeygen.com . Creo que existe un riesgo de seguridad al usar las claves generadas de este sitio web (o de cualquiera de este tipo). ¿Por qué? Aquí están mis pensamien...
pregunta 11.02.2014 - 15:12
3
respuestas

¿La verificación en dos pasos de Google / Dropbox / Github cuenta como factor doble?

Esto considera la ruta en la que alguien no usa la opción de SMS, sino que usa TOTP , y el sitio ofrece una semilla generada para ingresar. Dos factores cuestionables en uso: contraseña: algo CONOCIDO TOTP: ¿esto cuenta como algo que T...
pregunta 16.12.2013 - 22:46
3
respuestas

¿Hay alguna razón en particular para que las claves de cifrado no sean arbitrariamente grandes?

Tengo entendido que cuantos más bits tenga una clave de cifrado, más tiempo se tarda en romper el cifrado. ¿Cuál es el lado negativo de tener una clave de cifrado más grande o por qué no vemos claves de tamaño 2 ^ 100 bits? Alguien con quien tra...
pregunta 02.01.2014 - 09:00
1
respuesta

¿Alguna vez un antivirus falló en detectar malware por razones "no técnicas"? [cerrado]

Me pregunto si un proveedor de antimalware ha incluido alguna vez en la lista blanca (o no ha podido detectarla) una pieza de malware porque el autor / patrocinador los pagó, los amenazó o legisló contra ellos.     
pregunta 24.03.2015 - 23:46
2
respuestas

¿Cómo ubicar un controlador de dominio en una red de Windows cuando no es miembro?

¿Hay una manera de determinar qué máquina en una red de directorio activo es el controlador de dominio, si en una computadora no ha iniciado sesión en el dominio? Esto es para una prueba de penetración, yendo a ciegas. He intentado buscar el...
pregunta 19.12.2014 - 17:51
2
respuestas

¿Cuáles son los riesgos de seguridad al dejar 'sudo' dentro de mi código de producción?

Tengo una secuencia de comandos que solo se puede ejecutar correctamente con permisos de raíz Pero en el desarrollo es muy difícil de ejecutar con permisos de root (en mi entorno de desarrollo), así que agrego 'sudo' cuando sea necesario dent...
pregunta 26.02.2015 - 03:51
1
respuesta

Autenticación móvil con contraseña como parámetro en obtener solicitud sobre ssl

Estoy creando una nueva capa de servicios para una aplicación móvil existente. La aplicación móvil se autentica con la capa de servicios existente al proporcionar el nombre de usuario y la contraseña como parámetros de URL en una solicitud de ob...
pregunta 24.04.2015 - 13:44
2
respuestas

Crear certificado sin clave privada con OpenSSL

Sé que OpenSSL requiere que la CSR esté firmada por un motivo: para garantizar la validez de la CSR, el hecho de que fue solicitado por el propietario de la clave privada real de la clave pública adjunta. Está absolutamente bien, pero en teoría...
pregunta 22.02.2015 - 16:02
1
respuesta

¿Son las claves de sesión solo las claves simétricas?

Por lo que leí, en TLS, el secreto maestro se usa para generar lo siguiente: una clave simétrica para cifrar los registros SSL. un IV (vector de inicialización) una clave para el Código de autenticación de mensaje (MAC) No estoy segur...
pregunta 14.12.2014 - 05:57