Todas las preguntas

2
respuestas

En la práctica, ¿es seguro establecer el encabezado Strict-Transport-Security en las solicitudes que no son SSL?

La Sección 7.2 de RFC 6797 declara:    Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP   transportado a través de transporte no seguro. En la práctica, tengo muchos hosts detrás de un equilibrador de carg...
pregunta 18.12.2015 - 22:28
1
respuesta

¿Por qué ebay prohíbe ciertos caracteres en las cadenas de contraseña?

Tuve que cambiar mi contraseña de ebay.com hoy y, para mi sorpresa, no se me permitió usar ciertos caracteres. Por ejemplo, [ da como resultado una contraseña "no válida" y el sistema se niega a aceptarla. ¿Hay alguna razón sensata par...
pregunta 29.02.2016 - 09:39
1
respuesta

¿Cómo se puede mantener en secreto un cifrado de flujo disponible públicamente (RC4) durante tanto tiempo?

Estoy leyendo sobre la función criptográfica llamada RC4 . Aparentemente, su método se mantuvo en secreto desde 1987 hasta 1994 a pesar de estar disponible al público para su licencia y uso. ¿Cómo se mantuvo en secreto durante tanto tiemp...
pregunta 25.10.2015 - 15:32
2
respuestas

¿Un ataque que no cambia el estado del servidor puede considerarse un ataque CSRF?

De Wikipedia:    Una verdadera vulnerabilidad CSRF en uTorrent (CVE-2008-6586) explotó el   hecho de que su consola web es accesible en localhost: 8080 permitido   Acciones de misión crítica para ser ejecutadas como un simple GET.   solicitud...
pregunta 25.03.2016 - 11:48
2
respuestas

Evitar redireccionamientos no validados y reenvíos

Supongamos que tiene una página de redireccionamiento donde el cliente es redirigido a una URL desde la cadena de consulta: http://victim/redirect.aspx?url=http://evil/ Realmente necesitas poder redireccionar a otra página o URL, ¿cómo pued...
pregunta 26.12.2015 - 13:24
4
respuestas

¿Por qué hay tantos servidores web que se explotan al generar archivos confusos?

TL & DR ¿Cómo se quejan esos usuarios de los archivos confusos en este sitio de SE sobre sus sistemas? ¿Y después de eso, aún más interesante cómo se ejecutan? ¿Esto es causado por la forma en que funciona php? ¿O es un problema de co...
pregunta 02.03.2016 - 15:59
1
respuesta

Filtro tcp de Wireshark: tcp [((tcp [12: 1] & 0xf0) 2): 4]

Mientras lee este documento enlace encontré esta línea tcp[((tcp[12:1] & 0xf0) >> 2):4] que determina el encabezado TCP Longitud, pero no puedo descubrir cómo funciona realmente (en detalles). ¿Alguien puede explicarlo?...
pregunta 20.04.2016 - 08:54
4
respuestas

¿Cómo puedo usar netcat como ping?

¿Cómo podemos usar el netcat ( nc ) para determinar si una máquina en particular está ejecutando servicios web, de correo o SSH?     
pregunta 17.11.2015 - 21:30
2
respuestas

descifrado automatizado

Necesito almacenar credenciales en mi servidor raíz privado para ejecutar algunas tareas automatizadas como la transferencia de archivos desde servidores remotos a través de sftp, etc. Es posible que use shell scripting o tal vez php para ejecut...
pregunta 01.10.2015 - 17:14
2
respuestas

¿Necesito el cumplimiento de PCI DSS cuando uso PayPal Express Checkout?

Si estoy usando PayPal Express Checkout en mi sitio web, ¿debo cumplir con la norma PCI DSS? PayPal dice "Con los pagos estándar en el sitio web, la facturación en línea, el pago rápido y el pago en el sitio web Pro Hosted, PayPal maneja la i...
pregunta 27.12.2015 - 13:04