Todas las preguntas

1
respuesta

Burpsuite Pro: tokens CSRF en el secuenciador

Así que estoy usando Burp para intentar estimar la entropía utilizada por los tokens para evitar el CSRF. Digamos que un sitio web tiene una url en su sitio protegido por un token: <a href="http://example.com/mypage.TOKEN=1234"> somel...
pregunta 18.09.2012 - 18:21
3
respuestas

¿Le parece seguro el siguiente flujo de datos?

Entiendo el concepto básico de SSL pero tal vez me esté perdiendo el punto. Por favor, ¿podría alguien echar un vistazo a la siguiente parte de un registro de prueba a un servidor y decirme si parece seguro? Lo que me preocupa es que, aunque la...
pregunta 12.09.2012 - 21:12
1
respuesta

Sistema personalizado de autenticación de usuarios de estilo EC2: ¿qué tan seguro es?

En el trabajo, estoy tratando de diseñar un sistema de autenticación de usuario sin sesión (incluidos los tokens basados en sesión, como los que se utilizan en OAuth2) debido a los requisitos del software del cliente. Los servicios son REST y es...
pregunta 10.07.2012 - 08:13
2
respuestas

Cómo usar árboles de ataque y gráficos de ataque

Estoy tratando de entender cómo se pueden usar los árboles de ataque / gráficos en el proceso de seguridad. Leí muchos artículos que presentan el tema y cómo esta representación puede ser útil, pero realmente no entiendo de qué manera. Por ej...
pregunta 25.04.2012 - 09:01
2
respuestas

Ocultar el archivo web.xml de la vista pública

He encontrado una vulnerabilidad en una aplicación sun java donde el archivo web.xml se puede ver públicamente ya que la aplicación no utiliza ningún .htaccess ni web.config. No sé cómo restringir. Intenté con los permisos de archivo, pero cu...
pregunta 01.09.2012 - 10:22
3
respuestas

Seguridad en la red inalámbrica de sensores ad hoc (sin acceso físico)

Quiero saber sin tener acceso físico, cuáles son los métodos que pueden robar los datos en un nodo. Cuando se habla de espionaje, ¿cómo puede un atacante oler los paquetes? ¿Necesitan escuchar ese nodo o escuchar el canal? ¿Hay alguna otra...
pregunta 30.09.2012 - 10:04
2
respuestas

Alerta de seguridad - Validación de archivos de Office: ¿cómo decidir si proceder?

Recientemente, al abrir un documento de Microsoft Word que provenía de una fuente confiable, recibí el siguiente mensaje de advertencia: Elmensajedeadvertenciasetitula"Alerta de seguridad - Validación de archivos de Office". Dice "ADVERTENCIA...
pregunta 01.08.2012 - 07:09
3
respuestas

¿Es posible modificar una CA sin tener que volver a emitir todos los certificados derivados?

Antecedentes: tengo mi propio certificado autoritativo que me generé para firmar los certificados de los servicios que mis amigos y yo usamos, incluido el servidor web, ircd, etc. Es conveniente porque no tengo que gastar dinero en firmar mi cer...
pregunta 17.07.2012 - 19:25
1
respuesta

¿Cómo verificar la autenticidad de los usuarios de Facebook?

Si bien Facebook no me sorprendió en absoluto que " 8.7 por ciento de las cuentas que pertenecen a sus 955 millones de usuarios activos mensuales son falsas "; link es una noticia que proporciona a los proveedores un resumen de sus declaracione...
pregunta 04.08.2012 - 14:10
1
respuesta

¿Por qué algunas compañías grandes todavía almacenan contraseñas en formato de texto sin formato / descifrado? [cerrado]

En las últimas semanas he encontrado dos compañías bastante grandes que parecen no tener una seguridad de contraseña estricta: Tesco: almacenan las contraseñas en un formato "encriptado", pero pueden descifrar la contraseña y luego enviarla...
pregunta 20.08.2012 - 15:18