Todas las preguntas

2
respuestas

Carga útil XSS con restricción de longitud de diez caracteres

Hay un campo de entrada que no se codifica en el lado del servidor. Pero si le das a un script completo, por ejemplo, <img src=a onerror=alert(1)> , muestra un error como: <img src=a....' no es un valor válido. No tengo...
pregunta 18.06.2016 - 19:45
2
respuestas

¿Son estos dos ataques de scripts de marcos cruzados?

Recibí una revisión de seguridad reciente de un sitio web que mencionó que tenía una vulnerabilidad de scripts entre marcos. En resumen, mencionó que un sitio malicioso podría cargar la página en un iframe, engañando al usuario para que piense q...
pregunta 05.11.2013 - 16:44
2
respuestas

¿Existen ventajas de seguridad para el "TrueCrypt-Paradigm"?

TrueCrypt y sus sucesores utilizan un formato de archivo que tiene la propiedad especial, que parece completamente aleatorio , solo hay una sal (que es aleatoria) y el texto cifrado (que parece aleatorio). Me gusta llamar a esto "TrueCrypt-Para...
pregunta 02.04.2016 - 20:59
5
respuestas

¿Existe algún beneficio de seguridad al usar una máquina virtual en el arranque dual?

Estaba mirando una pregunta sobre el arranque dual en Superusuario , y lo estaba si existe una protección adicional al usar una VM en el arranque dual. Por lo que me han dicho, una máquina virtual es su propia caja de arena, y todo lo que suced...
pregunta 23.10.2016 - 00:31
1
respuesta

¿Cómo escribir un módulo de autenticación para mi sitio web?

Seguro que esto suena ingenuo, y lo es. Al ser un recién graduado de la universidad, me he preguntado cómo los sitios web promedio implementan sus módulos de autenticación. He estado usando una tabla que almacena el nombre de usuario y el hash (...
pregunta 11.10.2013 - 06:22
3
respuestas

¿Debería la empresa proteger el esquema de base de datos al mismo nivel de los datos?

Si una empresa posee bases de datos que tienen acceso a diferentes usuarios. Si la empresa tiene que decidir cuánto invertir para proteger los datos en sí y cuánto proteger el esquema de base de datos (la estructura y las relaciones internas ent...
pregunta 06.09.2016 - 15:46
3
respuestas

PCI DSS 2.0 y claves ssh

Sé la respuesta real al auditor. Somos una empresa más pequeña con menos de 40 empleados en total que también cumple con el nivel 1 de PCI. Siempre hemos utilizado claves ssh en servidores internos. No puede ssh desde el exterior y tener aute...
pregunta 18.12.2013 - 00:28
4
respuestas

Gestión de riesgos con análisis de código de software

Soy programador por día y estoy trabajando en un proyecto que se centra en la gestión de riesgos basada en los controles PCI-DSS dentro de una organización. Últimamente he pensado que muchos controles PCI-DSS se centran en parches de software...
pregunta 20.02.2014 - 12:45
2
respuestas

¿Es un problema dividir una clave AES?

Me pregunto si sería un problema dividir una clave AES de 256 bits en dos bloques de 16 bytes y distribuirla, implementar algún tipo de principio de cuatro ojos (se necesitan dos personas para descifrar un mensaje)? Sé que hay algunos esquema...
pregunta 13.08.2013 - 19:27
2
respuestas

Decidir si firmar la clave de alguien

¿Cómo decido si firmar una clave pública PGP de alguien? Estaba mirando algunas páginas de contacto y tienen una solicitud para que las personas firmen su clave pública. ¿Qué tan serio es el compromiso de firmar la clave pública de alguien?    ...
pregunta 09.08.2013 - 00:24