Todas las preguntas

2
respuestas

¿Cómo manejar el cifrado de disco para la conexión remota?

Tengo en mi estación de trabajo, una instalación de ubuntu 14.04 con cifrado de disco completo. Ahora tengo que viajar con frecuencia durante días y estoy planeando ingresar a esta máquina desde mi chromebook para trabajar de forma remota. No...
pregunta 23.04.2015 - 07:33
2
respuestas

script de nmap con credenciales

Estoy usando Nmap para las pruebas de penetración por un tiempo, y necesito saber: Suponiendo que obtuve las credenciales de usuario, ¿hay algún script que pueda usar para buscar a qué recursos puede acceder este usuario?  por ejemplo, en q...
pregunta 13.04.2015 - 12:00
1
respuesta

¿Debería poder restablecer una contraseña sin verificar primero la dirección de correo electrónico?

Acabo de darme cuenta de Instagram, lo que puedes hacer es: Desde la aplicación de Instagram registrada, cambia tu dirección de correo electrónico. Esto enviará un enlace de verificación a la nueva dirección de correo electrónico. La verif...
pregunta 01.06.2015 - 04:16
3
respuestas

¿Contra qué tipos de ataques y abusos protege DNSSEC?

He leído muchos artículos diferentes sobre qué es DNSSEC es y que proporciona autenticación para DNS. Lo que desafortunadamente no he visto es una buena descripción de los tipos de ataques y abusos que DNSSEC puede prevenir / mitigar. Con l...
pregunta 10.05.2015 - 23:58
1
respuesta

¿Hay algún beneficio de usar JWT sin estado sobre hash SHA256 para tokens de API?

¿Tiene sentido usar JWT sin estado (sin almacenamiento persistente) sobre SHA256 simple? Escenario de ejemplo: El usuario inicia sesión El token de usuario se genera de la siguiente manera: a. JWT.encode (ID de usuario, 'secreto')...
pregunta 07.05.2015 - 20:19
2
respuestas

¿Por qué los atributos de ID necesitan una validación más estricta?

Según Hoja de trucos de prevención OWASP XSS , uno debería    Valide estrictamente los atributos no seguros, como el fondo, id y nombre Entiendo que background podría contener data: urls y, por lo tanto, puede ser explotado...
pregunta 11.05.2015 - 12:21
2
respuestas

HTTPS en los portales cautivos y el Asistente de red cautivo de Apple

Supongamos que me conecto a la red Wi-Fi de una compañía en la que confío lo suficiente como para darles mi número de tarjeta de crédito (por ejemplo, mi aeropuerto local). Cuando me conecto a su red Wi-Fi, mi navegador web se redirige desde cua...
pregunta 21.05.2015 - 14:23
3
respuestas

¿Por qué Windows tiene un lugar para almacenar certificados SSL intermedios?

Como entiendo el proceso de verificación del certificado SSL de una computadora remota, el sistema remoto envía su certificado "hoja" y cualquier certificado intermedio, pero no el certificado raíz. La ejecución de este comando openssl mu...
pregunta 22.05.2015 - 16:25
1
respuesta

¿Cuáles son las mejores prácticas para la seguridad (basada en token) en una aplicación web?

Estoy diseñando una aplicación web que usa Spring MVC con controladores REST y páginas Angular JS que se comunican con estos controladores REST. He implementado un mecanismo de seguridad / autorización basado en token que funciona. (Este se b...
pregunta 14.05.2015 - 18:07
3
respuestas

Defensa del software contra ataques de arranque en frío

Los ataques de arranque en frío son particularmente desagradable . En Android, una solución es utilizar un dispositivo Nexus con un gestor de arranque bloqueado para evitar el flasheo de una recuperación personalizada. En una PC, sus medid...
pregunta 31.05.2015 - 19:03