Todas las preguntas

1
respuesta

Certificado y abuso de claves

Hace varios años cometí un error al cargar la clave de certificado de OpenSSL (.pem y .pk8) en una publicación de blog. La clave se usó para firmar la aplicación apk de Android usando la herramienta SignApk.jar. Alguien lo tomó y usó la clave pa...
pregunta 17.01.2018 - 15:37
1
respuesta

¿Es razonable que el software contenga algo que el usuario no pueda manipular?

Quiero crear una pieza de software que contenga cierta información, el programa funciona sin conexión y quiero asegurarme de que la información no pueda ser manipulada. El programa puede crear o alterar su información en cualquier momento. Pe...
pregunta 16.10.2017 - 15:54
2
respuestas

¿Qué sucede si STARTTLS se cae en SMTP?

SMTP usa la extensión STARTTLS para actualizar SMTP a SMTP Secure (STMPS). Según el RFC , el cliente y el servidor inician TLS de la siguiente manera: S: <waits for connection on TCP port 25> C: <opens connection> S: 220 mai...
pregunta 07.09.2017 - 18:23
2
respuestas

¿Cuál es la diferencia entre una carga útil y un código de shell?

Soy nuevo en las pruebas de penetración y me gustaría saber las diferencias entre estas dos cosas: Carga útil (TCP inverso vs. shell de enlace) Shell vs. Shellcode ¿Alguna ayuda? Gracias de antemano.     
pregunta 16.08.2017 - 02:22
2
respuestas

JWT o claves públicas-privadas para llamadas de API de servicio a servicio

Estoy estudiando la configuración de la autenticación entre dos servicios de aplicación. El servicio A llamará al servicio B, y quiero que el servicio B solo acepte llamadas (http) del servicio A, en ningún otro lugar. Sé cómo funciona la aut...
pregunta 09.03.2018 - 08:03
2
respuestas

¿Cómo puedo mejorar la seguridad en un entorno de producción?

Estoy configurando un sistema donde los dispositivos se probarán justo después de la producción. Cada dispositivo tiene una clave AES dada individualmente, que debe ser conocida para poder comunicarse. Esas claves individuales son entregadas por...
pregunta 26.03.2018 - 16:33
2
respuestas

¿Es más seguro especificar https: // delante de un dominio?

Al solicitar un sitio web, digamos "crypto.stackexchange.com" que a menudo se redirige a una conexión segura, en este caso " enlace ". ¿Luego solicitaría una conexión insegura (http), me redirigiría al protocolo https seguro mediante la respuest...
pregunta 15.03.2018 - 10:16
2
respuestas

OWASP Secure Headers for Web Services

¿Son obligatorios los siguientes encabezados para un servicio web que maneja solicitudes POST y devuelven datos usando SOAP? Seguridad de transporte estricta de HTTP (HSTS) Opciones de X-Frame X-XSS-Protection Opciones de tipo de conte...
pregunta 13.11.2017 - 08:00
2
respuestas

¿Por qué las puntuaciones CVSS difieren tanto entre Redhat y la página NVD?

tome CVE-2016-7872, por ejemplo. en la página web de la Base de datos de vulnerabilidad nacional , podemos ver que la puntuación de cvss2 y cvss3 es 9.8 y 10.0 respectivamente. pero en la página de avisos de seguridad de redhat , son 6.8...
pregunta 17.08.2017 - 07:19
2
respuestas

¿Cómo autentica un cliente un servidor SFTP si no hay claves compartidas de antemano?

Para FTPS, confiamos en el DNS y la PKI pública para autenticar el servidor FTP cuando nos conectamos por primera vez. En la primera conexión, foo.example.com se resuelve en 1.2.3.4 y mi conexión se vuelve encriptada por una clave privada que pu...
pregunta 10.11.2017 - 13:56