Todas las preguntas

2
respuestas

¿Debe considerarse que la capacidad de acceder a la página de inicio de sesión después de la autenticación es una falla de seguridad?

En uno de los compromisos recientes, me topé con algo que no había visto antes: después de un intento de autenticación exitoso, el usuario todavía puede acceder a la página web de inicio de sesión e iniciar sesión como otro usuario. En cierto...
pregunta 20.03.2016 - 19:58
1
respuesta

¿Cómo verificar una firma de una entidad por otra utilizando OpenSSL CLI?

Estoy enseñando una clase sobre cadenas de certificados, así que descargo la cadena de www.google.com que tiene 4 certificados. Quiero demostrar cómo funcionan las dependencias desde el emisor al sujeto, demostrando que cada entidad firma...
pregunta 15.03.2016 - 16:30
2
respuestas

Captura de tráfico en un servidor público

Tengo un VPS donde hospedo una aplicación web creada por PHP. Ayer miré el registro de Apache y encontré que alguien ejecutaba un escáner para adivinar algunas URL como: / wp-admin / joomla / mysql y así sucesivamente Eso no fue un...
pregunta 23.03.2016 - 19:28
1
respuesta

¿Cómo obtener las huellas digitales de GnuPG solo para el nombre de clave especificado, no para las coincidencias de subcadenas?

Tengo pocas claves GnuPG: prueba, prueba2, alguna prueba. Cuando invoco gpg --fingerprint test , se enumeran las huellas dactilares de todas las claves. Cuando ejecuto gpg --fingerprint test2 , solo se imprime la huella dactilar de...
pregunta 16.03.2016 - 08:41
3
respuestas

Mitigar el inicio de sesión CSRF en sitios web de terceros

Estoy trabajando en un proyecto que requiere tener una funcionalidad de registro / inicio de sesión expuesta a los socios que administran su propio sitio web. Para algunos de estos sitios web, reutilizan nuestro propio backend, y solo cambian el...
pregunta 24.03.2016 - 08:45
3
respuestas

Instale un servicio vulnerable para Windows 7

Tengo algún tipo de proyecto o demostración, donde tengo que explotar Windows 7 para obtener un shell remoto. Realicé un análisis de vulnerabilidad con nessus en mi máquina con Windows 7, pero no encontré ningún tipo de vulnerabilidad que me...
pregunta 31.03.2016 - 14:33
1
respuesta

¿La misma política de origen para la web solo es útil debido a las cookies?

Hay una misma política de origen en el navegador para garantizar que, por ejemplo, El sitio malo no leerá tus datos de Facebook. Pero parece que el único problema que intenta resolver es que las cookies se envían automáticamente con la solicitud...
pregunta 02.02.2016 - 14:36
1
respuesta

¿Cómo funciona la persistencia de metasploit?

Cuando explotamos de forma remota un objetivo con meterpreter, podemos usar el comando run persistence -U -i 10 -p 12345 -r 192.168.1.1 para hacer que un programa persistente intente conectarse a la máquina cuya dirección IP sea 192.168....
pregunta 03.04.2016 - 14:41
1
respuesta

OpenSSH 7.0 Pregunta sobre múltiples vulnerabilidades

Nessus informa que esto es Crítico, sin embargo, hay problemas como 'CVE-2015-5600' que CVE es 8.5, pero Red Hat lo informa como un problema 'Bajo'. enlace lo reporta como Impacto 'bajo'. Además, no entiendo por qué Red Hat dice que no está af...
pregunta 01.02.2016 - 14:41
2
respuestas

¿Las diferentes versiones de SSH dan diferentes VisualHostKeys?

Soy SSHing a un servidor a través de SSH de Cygwin y a través de SSH de Ubuntu 14.04. Versión de Cygwin: OpenSSH_7.1p2, OpenSSL 1.0.2e 3 de diciembre de 2015 Versión de Ubuntu: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.4, OpenSSL 1.0.1f 6 de enero d...
pregunta 04.02.2016 - 16:13