Todas las preguntas

1
respuesta

¿Cómo protege la política del mismo origen contra PUT / DELETE CSRF?

He leído la guía OWASP para falsificación de solicitudes entre sitios y dice que "otra Los métodos HTTP ", como PUT y DELETE, podrían utilizarse teóricamente para CSRF. Sin embargo, con la misma política de origen, estas solicitudes no se e...
pregunta 05.04.2016 - 18:09
1
respuesta

Modificar el código de shell para evitar el Firewall de Windows

Como parte de la capacitación de mi OSCP, se supone que debo obtener un shell en una máquina Win7 utilizando la vulnerabilidad del navegador (MS12-037) con el firewall de Windows activado. Tengo una idea, pero me cuesta trabajo aplicarlo....
pregunta 15.04.2016 - 18:34
2
respuestas

Variables de entorno de Azure Key Vault vs Azure: ¿cuál es la forma correcta?

He leído mucho sobre la nueva característica de Azure Key Vault y tiene algunos casos de uso válidos. Sin embargo, en el caso de una aplicación web simple, no veo la ventaja de utilizar variables de entorno que se pueden configurar en el portal....
pregunta 10.04.2016 - 15:30
1
respuesta

Escaneando direcciones IP privadas desde una red externa

¿Es posible con Nmap (u otra herramienta) escanear un rango de IP privadas (digamos 10.0.0.0/8) pero estar fuera de cualquier red privada (usando esas IP)?     
pregunta 28.03.2016 - 19:46
1
respuesta

En una implementación de TOTP, ¿es necesario que exista una política de caducidad para la clave secreta del usuario?

Background Estamos iniciando un proyecto para agregar un factor de autenticación adicional a nuestra aplicación web. Esto implica la creación de un token TOTP (contraseña de una sola vez basada en el tiempo) que cumple con RFC 6238 ( enlace )....
pregunta 29.03.2016 - 16:56
2
respuestas

Seguimiento de vulnerabilidad de la biblioteca de software

Estoy buscando mejorar la postura de seguridad de una aplicación web específicamente con respecto a OWASP A9 - Uso de componentes con vulnerabilidades conocidas. ¿Alguien está al tanto de cualquier fuente de datos completa aparte del NVD / CV...
pregunta 05.04.2016 - 14:12
1
respuesta

¿Cuál es el propósito y el significado de las opciones --sig-notation y --cert-notation en GnuPG?

¿Cuál es el propósito de las opciones --sig-notation y --cert-notation en GnuPG? ¿Cuáles son los casos de uso previstos? En la primera parte se usa el carácter @ , por lo que supongo que las opciones son para proporcionar...
pregunta 16.04.2016 - 08:02
1
respuesta

¿Mayor seguridad al separar el nombre de usuario y el nombre de inicio de sesión?

He visto esta pregunta: ¿La longitud / complejidad del nombre de usuario tiene un impacto positivo en la seguridad ? que me hizo pensar en nombres de usuario / contraseñas desde un aspecto de desarrollador. Si un desarrollador de una aplica...
pregunta 24.03.2016 - 15:30
1
respuesta

¿Cómo puedo probar que las llamadas o mensajes de un número falsificado son falsos? [cerrado]

Situation Hay 3 personas. La persona A, B y la víctima, C. La persona A le pide a la persona B que falsifique su número de teléfono para que se parezca al número de teléfono de la persona C. La persona A quiere denunciar a la persona C por aco...
pregunta 04.04.2016 - 21:08
1
respuesta

¿SAML 2.0 define cómo pasar el nombre de usuario y la contraseña para la autenticación?

Soy consciente de cómo se usa SAML para el inicio de sesión único (SSO). Es decir, redireccionar a IDP desde SP y obtener la identidad del usuario de la respuesta / aserción de SAML. Mi pregunta es: ¿La especificación SAML 2.0 define cómo pas...
pregunta 07.06.2016 - 07:11