Todas las preguntas

2
respuestas

¿Cómo manejar la protección CSRF en una aplicación de una sola página?

Actualmente estoy creando una aplicación de una sola página con una interfaz de JavaScript / HTML. El front-end realiza llamadas a una API WEB que fue escrita en .NET. Actualmente tengo una página HTML donde un usuario ingresa sus credenciales y...
pregunta 04.01.2017 - 17:11
2
respuestas

¿Permitir el acceso a un usuario creado mediante programación sin comprometer la seguridad?

Estoy escribiendo una aplicación que requiere múltiples niveles de usuarios, donde un usuario es administrador y agrega usuarios esclavos. Parece que no puedo encontrar una manera de permitir el acceso seguro a los usuarios esclavos. El envío...
pregunta 27.12.2016 - 23:55
1
respuesta

Beef en múltiples campañas

Utilizo el Motor de reglas de ejecución automática (ARE) en BEEF para ejecutar algunos módulos específicos al engancharme, y esto funciona muy bien, pero ¿qué tal si quiero ejecutar dos campañas separadas? Los que se envían a la página web A obt...
pregunta 16.01.2017 - 22:19
1
respuesta

Explotación de formato de cadena

Tengo el siguiente escenario: se llama a printf con una cadena de 20 bytes (19 caracteres + 0x00) que controlo. La cadena no puede contener n, s, S y $. Mi objetivo es omitir un strcmp con un valor aleatorio (ya sea utilizando el exploit para...
pregunta 27.12.2016 - 11:51
1
respuesta

¿La entrada predecible (como los encabezados de bcrypt) amenaza la encriptación basada en contraseña?

Estoy creando un sistema para almacenar la versión con hash de algunos secretos. He leído el blog de Dropbox sobre cómo almacenan sus contraseñas, y se han inspirado en lo que están haciendo. Dropbox, según tengo entendido, hace esto: O...
pregunta 21.12.2016 - 11:56
3
respuestas

¿Es seguro un pago modal a través de HTTPS si la página principal es solo HTTP?

Recientemente intenté actualizar la información de mi tarjeta de crédito en un sitio que se sirve a través de HTTP. Incluso después de iniciar sesión, el sitio permanece en HTTP! Me di cuenta de que Chrome no me permitiría usar las tarjetas d...
pregunta 08.12.2016 - 15:57
1
respuesta

Método apropiado de anuncios / seguimiento de bloque en el servidor VPN para clientes

Estoy ejecutando un servicio VPN en Debian (para algunos amigos) como un proyecto de autoaprendizaje para obtener más experiencia en la ejecución de un servicio seguro y de alta disponibilidad. En este momento, OpenVPN envía servidores opendn...
pregunta 29.12.2016 - 18:17
2
respuestas

¿Es posible firmar datos de forma segura en un navegador web?

Hay una API WebCrypto en los navegadores. Permite a los clientes firmar datos . Sin embargo, me parece que no impide que la página web acceda a la clave privada. Una vez que se haya generado la clave, se puede marcar como no extraíble y se p...
pregunta 16.08.2016 - 11:47
2
respuestas

Ataques RDP de fuerza bruta a pesar de tener RDP restringido a 1 IP - ¿CÓMO?

Limité las reglas entrantes del Firewall para RDP en Ámbito a 1 Dirección IP remota (la sección Dirección IP local está vacía). Esto se hizo tanto para Public & Reglas de dominio privado. Esta acción restringió el acceso RDP solo a mi IP....
pregunta 22.07.2016 - 19:56
1
respuesta

¿La API REST de Wordpress con CORS habilitado representa un riesgo de seguridad?

Después de una inspección de seguridad de un sitio que ejecuta Wordpress con una API REST, el escáner marcó la ruta / wp-json / como una vulnerabilidad debido a una política CORS muy flexible que permite a terceros interactuar con el servicio. S...
pregunta 19.12.2016 - 04:20