Todas las preguntas

2
respuestas

¿La guía de contraseña de PCI-DSS se aplica a las cuentas de servicio?

Una cuenta de servicio es una cuenta de usuario creada con el único propósito de ejecutar una aplicación. Por ejemplo, un sitio web de banca en línea puede tener una sola cuenta de servicio bajo la cual se ejecuta el código. Las cuentas de se...
pregunta 13.08.2018 - 19:48
2
respuestas

¿Posibilidad de robo profesional de llamadas / clientes potenciales? [cerrado]

¿Es posible que nuestras llamadas VoIP sean redirigidas desde nuestro número de teléfono previsto a otro número de teléfono desconocido para nosotros? Nuestro número de VoIP actualmente se reenvía a teléfonos móviles y teléfonos informáticos. ¿S...
pregunta 17.06.2018 - 22:34
1
respuesta

Aplastando pila en x86_64

Las funciones de explotación como strcpy() se basan en el hecho de que la cadena de carga útil no debe contener cero bytes que terminen la función de copia. Si la carga útil contiene direcciones x86_64 (por ejemplo, para sobrescribir una...
pregunta 19.06.2018 - 10:56
1
respuesta

¿Cómo puedo garantizar niveles más altos de privacidad cuando recibo correos electrónicos de otros?

Puedo configurar mi propio servidor de correo electrónico, y estoy bastante satisfecho con él, utilizando componentes estándar de código abierto: postfix, roundcube, etc. encima de HardenedBSD o OpenBSD. Me gustaría ofrecer el uso de mi servi...
pregunta 29.07.2018 - 12:52
1
respuesta

strstr y fopen, ¿hay un bypass?

Tengo un binario que hace esto: if (strstr(USERCONTROLLERSTRING, "..")) exit; fopen(CurrentPath+"\Data\"+USERCONTROLLEDSTRING, "r"); luego escupe todo el contenido del archivo. ¿Hay alguna vulnerabilidad obvia aquí? Es un servicio de Win...
pregunta 18.07.2018 - 15:54
1
respuesta

¿Google comprueba si hay caracteres Unicode para determinar el spam ahora en Gmail?

Estaba leyendo algunos tweets de @pwnallthethings con respecto a los correos electrónicos de phishing de John Podesta. Cómo se veía el correo electrónico: ElenlacedelbotónChangePassword,observeeldominiocom-securitysettingpage.tk De@pwnall...
pregunta 16.07.2018 - 15:22
2
respuestas

¿Qué comandos de Linux pueden ejecutar el código proporcionado por el usuario? [cerrado]

Como se explica aquí ( enlace ), el comando tar Se puede utilizar para ejecutar código arbitrario. ¿Hay una lista de comandos de Linux, que incluya preferiblemente comandos en paquetes en las repositorios oficiales de la distribución,...
pregunta 28.06.2018 - 02:02
1
respuesta

¿Cuáles son algunas formas de ejecutar un adjunto XSS reflejado?

Me preguntaba cuántos métodos diferentes existen para ejecutar ataques XSS. En casi todas las demostraciones que veo, el ataque se desencadena de una de las siguientes 3 formas: Al ingresar el script en un campo de entrada. El front-end l...
pregunta 23.08.2018 - 21:10
1
respuesta

Evita que se refleje la página modificada por la extensión del navegador

Supongamos que hay una extensión de navegador confiable en un navegador Chrome que modifica la página web (como editar DOM, agregar scripts, etc.) No quiero que nadie, excepto yo, vea la página modificada por esta extensión, ya que ahora podr...
pregunta 06.08.2018 - 21:57
5
respuestas

Proveedor en la nube para pruebas de penetración

Deseo configurar una caja Kali Linux en un proveedor en la nube para realizar pruebas de penetración el mismo día. El problema que tengo es encontrar un proveedor en la nube como AWS, Azure, etc. para esto. Para AWS requieren que se llene...
pregunta 21.08.2018 - 13:02