Todas las preguntas

2
respuestas

¿Es un archivo de claves aleatorio más seguro que una clave derivada?

Estoy diseñando una capa de cifrado para algunas API de almacenamiento en la nube propietarias. Básicamente, esto debería actuar como un adaptador transparente que encripta blobs binarios completos (archivos) en la carga y los descifra en la des...
pregunta 21.01.2013 - 09:44
1
respuesta

Diseñar un sistema de información seguro

¿Podría alguien brindarme alguna orientación para un sistema que estoy diseñando ... Una descripción general del sistema es que es para almacenar información sobre el personal y los "clientes". ¡Esta información debe ser completamente segura...
pregunta 12.06.2013 - 10:01
1
respuesta

¿OWASP ZAP no ejecuta correctamente mis respuestas HTTP?

Intenté usar la funcionalidad de proxy web de OWASP Zed Attack Proxy (ZAP) para editar la respuesta JavaScript y HTML . Intenté que un botón obtuviera el atributo disable="false" en lugar de disable="" . Puedo usar fácilmente la c...
pregunta 02.08.2013 - 02:30
1
respuesta

¿Se puede acceder a la base de datos MySQL de XSS?

Me gustaría saber si existe algún peligro de que alguien pueda acceder a la base de datos a través de las vulnerabilidades de XSS en esta página. Tengo el siguiente enlace. Cuando accede a este enlace, el texto que he incluido como código se...
pregunta 04.04.2013 - 06:25
2
respuestas

Apagar: Borrar el archivo de paginación de la memoria virtual

Estaba leyendo sobre la política local de Windows de " Apagar: Borrar el archivo de memoria virtual ". Necesito una aclaración sobre esta breve descripción de la política: ¿Qué quiere decir con sistema operativo que permite arrancar a ot...
pregunta 30.05.2013 - 11:57
1
respuesta

¿Cómo administrar las contraseñas en un entorno de varios inquilinos?

Estoy creando una aplicación multiusuario en un modelo de base de datos compartida . Me gustaría cifrar los datos confidenciales para que solo un inquilino en particular pueda tener acceso a sus datos. ¿Cuál es el mejor modo para mantener / pro...
pregunta 20.06.2013 - 00:41
2
respuestas

Permitiendo que el usuario acceda a un sitio web protegido por contraseña sin revelar la contraseña

Un amigo mío tiene el siguiente problema. Ella es contadora y sus clientes con frecuencia le dan sus credenciales de inicio de sesión para que pueda descargar sus datos contables de los sitios web de varias instituciones financieras. También tie...
pregunta 18.06.2013 - 21:30
3
respuestas

¿Cómo evitar que CAS filtre la identidad del usuario a sitios web visitados arbitrariamente?

Resumen evil.example.com podría usar un marco oculto para solicitar un ticket de CAS de corporation.example.net, luego validarlo para recibir el nombre de usuario del infortunado usuario. De este modo, se deseanomiza de manera efectiva al usu...
pregunta 11.06.2013 - 20:02
1
respuesta

WSS (WSS4J): contraseña de texto claro en UsernameToken vs hash de contraseña con sal en la base de datos

Actualmente estoy luchando un poco con la capa de seguridad de un servicio web que estoy escribiendo usando WSS4J y CXF. Obviamente, no deseamos almacenar contraseñas de texto simple en nuestro backend, pero preferiríamos persistir solo los h...
pregunta 24.06.2013 - 07:41
1
respuesta

escaneo SYN, determinando escaneo vs carga de archivos grandes

En un sistema que intenta detectar escaneos SYN, una técnica es analizar la tasa de cambio de (paquetes de red enviados desde el host de la víctima por segundo) . Los procesos como la carga de un archivo grande no se "detectarían" como pertenec...
pregunta 07.04.2013 - 05:16