Todas las preguntas

2
respuestas

Mostrar los conjuntos de cifrado solicitados por el navegador desde OpenSSL

Instalé OpenSSL localmente y usé el comando s_server para iniciar un servidor usando un certificado autofirmado creado por OpenSSL también. El comando que utilicé para iniciar un servidor https es OpenSSL> s_server -accept 443 -w...
pregunta 12.08.2014 - 18:16
1
respuesta

Advertencias inconsistentes del navegador para SSL

Estoy haciendo una prueba de penetración en este momento, donde el cliente tiene una profunda inspección de paquetes para SSL habilitada (a mi entender), ya que cada conexión SSL parece estar MITMed. Ahora, algunos sitios HTTPS, como Gmail, m...
pregunta 24.07.2014 - 15:36
1
respuesta

¿Necesito un archivo salt cuando hasheado una contraseña generada aleatoriamente?

Tengo contraseñas almacenadas en mi base de datos que son muy largas, únicas y generadas por un CSPRNG . ¿Necesito usar una sal antes de mezclarlos? Mi entendimiento es que usualmente usas una función hash de la siguiente manera: hash(s...
pregunta 12.08.2014 - 03:14
1
respuesta

Margen de seguridad de un winzip, contraseña de Winrar de 64 caracteres frente al cracking de GPU

¿Cuál es el margen de seguridad a largo plazo de un archivo Winzip o Winrar cifrado con aes-256 y una contraseña que consta de 64 caracteres completamente aleatorios (a-z 0-9 y otros caracteres especiales imprimibles)? ¿Por cuánto tiempo será...
pregunta 19.08.2014 - 11:40
1
respuesta

¿Mi Ipv6 está siendo atacado por el smurf6?

Cuando voy a whatsmyip.org bajo mi nombre de host, obtengo "Your.Ipv6.Is.Under.Attack.By.The.Smurf6.Info". ¿Qué significa esto? Estoy usando el acceso privado a Internet como mi VPN, así que supongo que PIA está bajo algún tipo de ataque. ¿Qué d...
pregunta 01.08.2014 - 17:01
1
respuesta

Gestión de derechos de acceso en grandes empresas

Me pregunto cómo las grandes empresas con decenas / cientos de aplicaciones manejan los derechos de acceso para sus usuarios. Por lo que he visto, es una pesadilla que nunca termina, y requiere recursos a tiempo completo para un resultado pobre....
pregunta 23.07.2014 - 20:35
4
respuestas

¿Cómo una función de hashing siempre devuelve la misma longitud de hash?

He estado investigando qué son las funciones de hash, qué hacen, y amp; c. Me preguntaba: ¿cómo una función de hash siempre devuelve el mismo hash de longitud? ¿Cómo funciona el hashing? no explica por qué los hashes para un algoritmo deter...
pregunta 10.08.2014 - 15:55
2
respuestas

Prevención / detección de falsificación de registros generados en un entorno potencialmente hostil

Tengo una aplicación que se ejecuta en algún equipo host y genera registros. Más tarde en el día, esos registros se transmiten de forma segura a mi máquina. El problema es que, mientras se generan los registros, no tengo acceso a la máquina h...
pregunta 03.09.2014 - 19:18
1
respuesta

Cómo verificar la presencia de hashes LM en SAM local

Para deshacerse de los hashes LM en las bases de datos SAM locales, se puede confiar en el famoso GPO NoLMHash domain, que indica a los clientes que no almacenen los hashes de contraseña con el algoritmo LM localmente ("No almacene el val...
pregunta 22.08.2014 - 08:38
1
respuesta

¿Cómo se realiza el flasheo cruzado de sitios?

Leí sobre el flasheo entre sitios en la guía de pruebas de OWASP. Sé que la diferencia entre XSS y XSF. Pero lo que estoy buscando es cómo los atacantes realizan un ataque XSF. ¿Cómo es posible ya que no hay puntos de entrada para un archivo fla...
pregunta 07.10.2014 - 05:41