Todas las preguntas

2
respuestas

¿Qué califica a una vulnerabilidad que se publicará?

Considere un proyecto de código abierto que está en continuo desarrollo. Durante el desarrollo, en su trabajo diario, ocasionalmente encuentra algunos problemas por su cuenta. También hay usuarios de su biblioteca que reportan problemas. Si s...
pregunta 26.06.2018 - 18:37
1
respuesta

Ejemplo de ataque de arranque en frío en el mundo real

Escribí un artículo con una contramedida para un ataque de arranque en frío y actualmente estoy en proceso de refutación. Un revisor tiene problemas con la motivación detrás de los ataques de arranque en frío. Específicamente, pregunta si hay...
pregunta 09.07.2017 - 11:52
1
respuesta

¿Por qué un atacante se autentica en mi Consola de búsqueda de Google?

Alguien subió (no sé cómo, pero creo que a través de mi Wordpress que estaba desactualizado por solo un día ...) una autenticación de la Consola de búsqueda de Google en mi servidor. Me di cuenta de esto porque la Consola de búsqueda de Google m...
pregunta 10.07.2017 - 10:03
1
respuesta

Impedir la creación automatizada de cuentas sin usar CAPTCHA

Tuve un escenario, donde alguien creó miles de cuentas de usuario en un sistema de tienda, que inundó la base de datos. Se usaron diferentes nombres de usuarios / correos electrónicos y cada creación provino de una dirección IP diferente. ¿Có...
pregunta 24.07.2017 - 14:56
1
respuesta

Windows 10's (guardia de la aplicación Windows Defender) VS Sandboxing del navegador

Microsoft ha introducido una nueva función llamada " Guardia de aplicaciones de Windows Defender " El video de Microsoft explicó que (WDAG) le permite al usuario aislar el código que se ejecuta dentro de una página en lo que se llama "Contene...
pregunta 10.07.2017 - 03:26
1
respuesta

¿Cómo encontrar el método de creación de hash a través de la contraseña, la sal y el hash resultante?

Si conozco la contraseña, la sal (supuesta sal en realidad) y el hash de salida (formato sha1). ¿Cómo puedo encontrar el método de creación de hash? Probé cosas básicas como sha1(salt+password) sha1(password+ salt) sha1(salt +sh...
pregunta 23.08.2017 - 19:20
1
respuesta

¿Es este un esquema válido de cookies seguras?

Tengo un esquema para una cookie con alto nivel de confidencialidad de la información. La información que se debe ocultar al cliente es el tiempo de caducidad de la cookie. Me pregunto a qué inseguridades me estoy abriendo con este esquema. N...
pregunta 18.08.2017 - 19:39
1
respuesta

¿Deshabilitar WebGL me hará más o menos único en Internet?

Me he preguntado si deshabilitar WebGL me hará más o menos único, jugué con enlace para ver qué pasaría. Si lo mantengo habilitado, estoy 1 / 205.66, y los navegadores 1 / 465611.25 me están visitando. Sin embargo, si lo inhabilito, mi hash...
pregunta 20.07.2018 - 16:31
1
respuesta

¿Cuál es el riesgo de la inyección de SQL al usar variables de enlace con una cláusula 'me gusta'?

Estaba haciendo una revisión de código y encontré una consulta que se parecía a esto: String sql = "SELECT * FROM users WHERE username LIKE '%' || :userName || '%'"; Ver la concatenación de cadenas me hizo detenerme y pensar un poco sobre e...
pregunta 23.08.2017 - 15:54
2
respuestas

Cómo deshabilitar los cifrados en modo CBC

¿Existe una manera simple de deshabilitar los conjuntos de cifrado en modo CBC en las aplicaciones que usan una lista de conjunto de cifrado openssl? Espero algo en el estilo de !RC4 , sin embargo, !CBC no tiene ningún efecto y toda...
pregunta 01.08.2017 - 06:34