Todas las preguntas

4
respuestas

Demostración de fuerza bruta ética en un inicio de sesión web cuando se conocen los requisitos de complejidad de la contraseña

Actualmente tenemos cuentas comprometidas a una tasa sustancialmente alta. Algunos en la organización creen que nuestros requisitos de complejidad de contraseña son suficientes para frustrar los ataques de fuerza bruta. Quería probar y demost...
pregunta 27.05.2014 - 15:32
2
respuestas

Información de contacto de WHOIS mal utilizada

El sistema para internet y la forma en que las personas pueden abusar de él se está poniendo cada vez peor. Estoy teniendo varios problemas con las personas que abusan de la información dentro de mi WHOIS, que si recuerdo está protegida por las...
pregunta 22.05.2014 - 10:15
4
respuestas

¿Cómo debo defenderme contra el ataque de día cero en SSH?

Las vulnerabilidades se descubren todos los días. El reciente ataque de sangrado del corazón tomó a muchas personas con la guardia baja. Me preguntaba si se descubriría una falla grave que permita el acceso sin restricciones a SSH, ¿cómo debería...
pregunta 03.08.2014 - 09:40
1
respuesta

CSR de IIS 8 y mantener mi clave privada en secreto

He estado tratando de entender algo. Cuando genera una CSR desde IIS, ¿cómo se mantiene la clave privada como un secreto, o no? ¿CA te envía un certificado que incluye tu clave privada? Porque nada parece decirme lo contrario, y nadie debería co...
pregunta 03.08.2014 - 11:08
1
respuesta

Proxy inverso SSL

Tengo problemas para descubrir si una configuración de servidor potencial es segura. Tengo un servidor que ejecuta un proxy inverso nginx al que se puede acceder desde una dirección IP pública en los puertos 80 y 443. Luego tengo una red privada...
pregunta 29.05.2014 - 10:36
2
respuestas

¿Es más seguro almacenar el valor XSRF dentro de su JavaScript?

Para protegerse contra XSRF, necesita tener un token separado en una página. Ver: Codificación del horror: Prevención de ataques CSRF y XSRF, por Jeff Atwood Como sugiere la publicación, es mejor tener esos tokens en un campo oculto dent...
pregunta 18.05.2013 - 06:08
1
respuesta

¿El compromiso de una cuenta de cPanel / WHM en un servidor significa que las otras cuentas están en riesgo?

He creado varias cuentas de cpanel utilizando el panel de WHM de mi servidor. A partir de ahora, cada dominio tiene cpanel separado en mi servidor. Si uno de mis cpanel (dominio) fue hackeado, ¿eso significa que otros cpanel también son ha...
pregunta 11.05.2013 - 07:35
1
respuesta

XSS a través de Unicode

Leyendo sobre XSS y sus contramedidas en enlace , dice (en el segundo párrafo del enlace) que:    [...] el soporte para los juegos de caracteres Unicode por los navegadores podría dejar una aplicación abierta a ataques XSS si los algoritmos...
pregunta 11.05.2013 - 10:01
1
respuesta

Cómo determinar hashes / second en el criptoanálisis de contraseñas

Estoy trabajando en mi disertación sobre criptoanálisis en hashes de contraseña. Como parte de mi investigación, mi objetivo es descifrar varias contraseñas con John the Ripper y rainbowcrack-mt . Me gustaría determinar y analizar algunas e...
pregunta 25.04.2013 - 22:32
1
respuesta

¿Cómo se debe proteger este sistema contra la falsificación de ARP?

Fondo Mi universidad utiliza un servidor proxy HTTP autenticado (squid) para acceder a Internet. Hay algunas razones para esto: Quieren rastrear el mal uso de la conexión Nuestra universidad tiene suscripciones a la mayoría de las re...
pregunta 26.04.2013 - 07:02