Todas las preguntas

2
respuestas

Capa de abstracción de SQL: ¿Un mecanismo preventivo para SQLi?

Al realizar un pentest para una aplicación basada en Java, encontré un error de SQL (en realidad, HQL) simplemente colocando una comilla en uno de los parámetros de solicitud y rompiendo la sintaxis de la consulta. Pero como la aplicación hizo u...
pregunta 26.05.2014 - 20:10
2
respuestas

Red oculta que se conecta continuamente y no puedo desconectar

Cada vez que arranque se conecta. No hay opción para desconectarlo, excepto para desmarcar la casilla "Conectar automáticamente", pero permanece conectado incluso si reinicio. ¿Qué está pasando aquí? Además, no puedo activar Windows Defend...
pregunta 14.08.2017 - 19:28
2
respuestas

Seguridad remota de la aplicación del automóvil

Los fabricantes de automóviles como BMW, Audi o Mercedes-Benz ofrecen aplicaciones móviles para controlar su automóvil. Todas las aplicaciones comparten funciones realmente importantes como el bloqueo / desbloqueo remoto o la capacidad de encont...
pregunta 23.05.2014 - 22:05
3
respuestas

Ip tracking of laptop robada

Alguien me robó mi laptop. Hice una conexión con él mientras tenía Teamviewer aún corriendo. La policía dice que no pueden comenzar a rastrear la computadora portátil porque la IP está en el extranjero. Pero lo que no tiene sentido es que la IP...
pregunta 17.06.2014 - 14:31
1
respuesta

¿El uso de la autenticación basada en token hace que las comprobaciones de CSRF en el inicio de sesión no sean necesarias?

Según mi entendimiento, evitar el uso de cookies como mecanismo de autenticación evita las vulnerabilidades de CSRF por completo (es decir, la autenticación basada en token en un SPA), cuando se autentica. ¿Esto también hace que las comprobac...
pregunta 26.05.2014 - 11:29
1
respuesta

Mensaje terminado extraño en TLS

He intentado comprender el contenido del mensaje Finished de TLS. Estoy usando WireShark para capturar el tráfico entre mi navegador e Internet. Noté una "extrañeza" cuando el conjunto de cifrado elegido es AES_GCM . Al tratarse de...
pregunta 12.05.2014 - 21:19
1
respuesta

¿SSH authorized_keys viola el principio de "volver a autenticar antes de cambiar la contraseña"?

Se acepta generalmente que los mecanismos de cambio de contraseña deben solicitar al usuario su contraseña anterior (por ejemplo, OWASP ) La razón es que un atacante que tiene acceso temporal a la sesión de un usuario (ya sea a través de XSS, l...
pregunta 06.06.2014 - 11:17
1
respuesta

configuración del Firewall DMZ

Estoy involucrado en un proyecto en el que tengo que instalar un nuevo servidor para una nueva aplicación en una red de producción preexistente. El nuevo servidor se sentará en la DMZ y dos controladores se sentarán en la red de producción. La r...
pregunta 04.07.2014 - 11:37
1
respuesta

¿Cómo se protege la autenticación de OTR con "Preguntas y respuestas" contra MiTM?

He leído que la respuesta tiene algo que ver Millonario socialista , pero todavía no entiendo cómo. el usuario debe estar protegido contra el malicioso Hombre en el medio, que capturaría la pregunta y la respuesta por sí mismo si supiera la res...
pregunta 12.07.2014 - 16:59
1
respuesta

¿Qué es el "Hola Unificado Multi-Protocolo" y cuáles son los impactos de deshabilitarlo / habilitarlo?

Este artículo describe cómo deshabilite las versiones anteriores de TLS, pero además de hacerlo, también se deshabilita "Hola Unificado Multi-Protocolo". # Disable Multi-Protocol Unified Hello md 'HKLM:\SYSTEM\CurrentControlSet\Control\Secur...
pregunta 05.06.2014 - 17:41