Todas las preguntas

1
respuesta

Contraseña del sistema de Windows con hash: vea qué hash se usa

¿Cómo puedo saber / ver si mis ventanas usan NTML, LM, NTML2 para las contraseñas de sus cuentas de usuario? ¿Cuál es el estándar hoy en día, en sistemas Windows?     
pregunta 05.10.2014 - 20:16
2
respuestas

¿La autenticación de clave pública en SSH evita la mayoría de los ataques MITM?

Encontré este artículo que afirma que la firma criptográfica asimétrica de la clave obtenida con DH evita MITM: enlace Idea clave:    El valor de 'firma' es una firma del correspondiente privado   clave sobre los siguientes datos, en...
pregunta 11.09.2014 - 20:00
1
respuesta

¿Dónde enviar el malware recolectado de mi honeypot?

preguntándome si podrías ayudarme. Configuré el Honeypot de Dionaea y recolecté 6 o 7 archivos de malware. Desafortunadamente, al revisar los registros de Dionaea, sigue dando el error "No se pudo resolver el host" para Norman Sandbox, Anubis y...
pregunta 18.09.2014 - 20:44
2
respuestas

Códigos de escape extraños en una solicitud GET: ¿se trata de un ataque conocido?

Recientemente encontré algunas entradas en los registros de acceso de nginx que se asemejan a las siguientes: ##.##.##.## - - [24/Sep/2014:01:21:51 -0400] "GET /767/browser-wars-side-show-ho w-natty-handles-the-load/+++++++++[+%C0%EA%F2%E8%E2%...
pregunta 24.09.2014 - 05:32
1
respuesta

¿Qué tan seguro es el HMAC?

Estoy construyendo una API sin estado RESTful y estoy usando un token para la autenticación. El problema que tengo es que no estoy seguro de qué tan seguro es HMAC. Estoy usando una biblioteca token web JSON que permite cifrar y descifrar l...
pregunta 14.10.2014 - 17:45
1
respuesta

¿Vale la pena notificar a las empresas sobre el XSS reflejado que se filtra por el auditor de XSS?

Me pregunto si debo informar sobre una vulnerabilidad XSS reflejada si el auditor de navegadores XSS la filtra. Por ejemplo, si encuentro una vulnerabilidad XSS en www.website.tld/some-action/?productSku=tes"%20onload="alert(1) , pero e...
pregunta 11.12.2016 - 18:29
1
respuesta

¿Dónde puedo usar la exploración TCP FIN?

Para un curso, tengo que ejecutar los distintos escaneos de puertos, sin embargo, tengo problemas con el escaneo FIN, parece que no puedo encontrar un sistema donde pueda probarlo, en todos los lugares donde lo pruebo, todos los puertos vuelve c...
pregunta 04.10.2014 - 13:20
2
respuestas

Humano o Bot: Detrás de los controles de escena vs CAPTCHA

Estoy trabajando en una aplicación web en el momento en el que estamos tratando de eliminar cualquier fricción y exceso de usuarios de nuestra página de creación de usuarios. Para evitar que los robots informáticos envíen spam a nuestra aplicaci...
pregunta 27.08.2014 - 21:02
1
respuesta

Cómo restringir el uso de un certificado X509 solo para un servidor web

Me gustaría restringir el certificado X509 para que un sitio se use estrictamente para un servicio web, a diferencia de la firma de código o la firma de certificado. Los atributos de uso de basicConstraints y keyUsage restringir...
pregunta 02.12.2016 - 18:35
2
respuestas

¿Cómo imponer el secreto perfecto hacia delante usando las propiedades de JVM?

Según this blogpost Perfect Forward Secrecy (PFS) es proporcionada por:    Cualquier cosa en la lista de nombres de algoritmos que comience con TLS   (Seguridad del nivel de transporte) seguido de un tipo de DHE (Diffie-Hellman   Interc...
pregunta 20.12.2016 - 10:07