Todas las preguntas

1
respuesta

¿Compartir tokens de acceso en el encabezado de respuesta?

¿Cuál es la mejor manera de compartir mis tokens de acceso ? ¿Está bien compartirlo en el encabezado como texto sin formato, o necesito verlo por ejemplo? JWT ? Flujo de trabajo actual: -> POST /api/login -d {**creds} <- 201 [header...
pregunta 08.12.2015 - 23:56
0
respuestas

Practicando con exploits de return-2-libc

Estoy tratando de reproducir un retorno a libc para un programa vulnerable simple. El tutorial se tomó de enlace Hice algunos pequeños cambios, para que sea más fácil para mí. En primer lugar, estoy trabajando en un sistema Ubuntu Linux:...
pregunta 30.12.2015 - 22:23
0
respuestas

¿Cómo crear TPM_AUTHDATA como entrada en los comandos tpm?

Estoy escribiendo mi primer programa que usa los servicios tpm (versión 1.2) en Windows 7 usando TBS, en este programa estoy intentando ejecutar el comando TPM_CreateWrapKey. Noté que muchos comandos como TPM_CreateWrapKey requieren como último...
pregunta 07.12.2015 - 19:37
2
respuestas

Paquete UDP recibido con IP ID de cero:

Estoy escaneando un host en nuestra red con Nexpose y una de las vulnerabilidades reportadas es Paquete UDP recibido con Id. de IP de cero : IPv4 SRC[10.0.0.5] TGT[127.0.0.1] TOS[192] TTL[64] Flags[40] Proto[17] ID[0] FragOff[0] HDR-LENGT...
pregunta 11.12.2015 - 22:12
0
respuestas

Riesgos de seguridad con el widget iframe para diferentes herramientas

Estamos creando perfiles de usuario que pueden integrarse en los sitios web de los clientes. Los estamos incorporando como iframe en la web del cliente con el ID de usuario como parámetro en la URL de iframe. Tenemos un token de autenticación...
pregunta 16.12.2015 - 12:53
0
respuestas

¿Cómo funciona una herramienta para firmar?

Mi comprensión básica de cómo funciona una herramienta de signo es: Cargue el archivo zip (puede ser exe, jar, ddl, apk, etc.) que debe estar firmado en su memoria (memoria caché de la herramienta de firma). Verifíquelo y descomprima el...
pregunta 16.12.2015 - 11:03
0
respuestas

¿Métodos de llamada con Expression Language Injection en Spring Framework?

Actualmente estoy en un pentest y me he encontrado con un parámetro de URL que es vulnerable a la inyección de Expression Language (EL) y puedo demostrarlo al acceder a propiedades como $ {pageContext}. Sin embargo, parece que tengo acceso a...
pregunta 03.06.2016 - 11:55
0
respuestas

Protocolos para transferir datos de control de acceso

La compañía para la que estoy trabajando ha decidido crear una API para algunos de los productos que creamos aquí (creamos soluciones de control de acceso físico, lectores de tarjetas, almacenamiento de llaves, cerraduras de puertas inteligentes...
pregunta 25.05.2016 - 06:47
0
respuestas

Validación de certificados y rutas para S / MIME

Estoy trabajando en un desarrollo de cliente S / MIME y me preguntaba si hay una lista de comprobaciones de validación de certificados y rutas que un cliente debe realizar al validar una firma de correo electrónico. Mi idea inicial fue que sería...
pregunta 21.12.2015 - 18:17
0
respuestas

¿Qué vulnerabilidades están asociadas con la activación de puertos?

Background Para solucionar un problema de retraso de la voz de VoIP, mi proveedor agregó reglas de activación de puertos para más de 42,000 puertos en mi enrutador, lo cual parecía descuidado. Y, según tengo entendido, la activación de puertos...
pregunta 02.06.2016 - 15:33