Todas las preguntas

1
respuesta

Función de% 5c .. en un recorrido transversal

Recientemente he encontrado esta publicación del blog de una recompensa de errores cazador. Aparentemente, se descubrió una vulnerabilidad de recorrido de ruta, que se parecía a esto: http://help.example.com/@app/skin/views/%5c../%5c../%...
pregunta 28.06.2017 - 05:25
5
respuestas

¿Por qué la autenticación de contraseña requiere enviar la contraseña?

¿Por qué los sistemas que realizan la autenticación de contraseña realmente envían la contraseña a través del cable? ¿Por qué no solo hacer que el servidor presente un desafío, y hacer que el cliente agregue ese desafío a la contraseña y resp...
pregunta 20.02.2017 - 12:39
1
respuesta

¿Cómo se agrega a su seguridad la frase de contraseña de una clave OpenPGP privada?

Soy un usuario novato de OpenPGP. Yo uso GPGTools para OS X. Tengo varias preguntas relacionadas, pero es difícil encontrar respuestas directas en Internet. Cuando creo un par de claves, la contraseña que ingreso es una frase de contraseña q...
pregunta 04.06.2017 - 20:45
1
respuesta

Hashing de una vía: aleatoriedad de las sales o singularidad global [duplicado]

Para la misma entrada, las funciones hash siempre producen el mismo hash en todo el mundo. Este es el punto clave del uso de hash en la verificación de contraseña. Si el hash para la misma entrada es el mismo globalmente, entonces el sal...
pregunta 10.03.2017 - 01:52
1
respuesta

Sophos AV no bloquea los archivos de prueba estándar de ClamAV

La empresa en la que trabajo recientemente obtuvo una auditoría de seguridad. Todo parece ser sólido, excepto nuestro AV Sophos Cloud Security. Me pidieron que intentara descargar algunos de estos Archivos de prueba de ClamAV en nuestras má...
pregunta 27.02.2017 - 14:00
3
respuestas

¿Se deben BORRAR / eliminar las cuentas de administrador inactivas?

Dado: Una aplicación web Algunas cuentas de administrador activas. Algunas cuentas de administrador inactivas. No existe un mecanismo de "auditoría" para mantener las cuentas antiguas. Los administradores inactivos no pueden iniciar...
pregunta 22.11.2016 - 19:10
1
respuesta

¿Existe alguna tecnología que permita ejecutar código en un entorno no confiable?

Imagínese, su computadora está controlada y su tráfico está vigilado (MitM). Por ejemplo, el entorno puede crear una instantánea del proceso y registrar un tráfico. ¿Existe alguna posibilidad de ejecutar el código y evitar que se realice una...
pregunta 11.12.2016 - 06:33
1
respuesta

Descripción de los hashes de contraseña local de Windows (NTLM)

Recientemente he descargado algunos hashes de mi máquina local porque estoy tratando de entender el proceso en el que Windows 7 hasheses las contraseñas. He descubierto mi hash de contraseña local que parece ( similar ) a esto: Jason:502:a...
pregunta 13.06.2017 - 15:06
5
respuestas

Un administrador de contraseñas en un solo punto de falla. Entonces, ¿por qué es tan frecuente hoy en día? [duplicar]

La conclusión de este artículo es que para proteger las contraseñas en 2017, necesita una extensión y aleatoriedad Recomienda renunciar a todos los pequeños trucos y técnicas como convertir "o" en 0 para elegir una contraseña aleatoria. Y...
pregunta 24.02.2017 - 13:17
2
respuestas

¿Es ASLR inútil en la prevención de ataques como el retorno a libc en Linux?

Si estoy en lo correcto, debido a ASLR cargamos libc en alguna dirección aleatoria. Y luego, para que esto suceda sin permitir permisos de escritura de páginas de texto dentro de la memoria, usamos plt / got. Ahora puedo simplemente saltar a alg...
pregunta 21.01.2017 - 13:58