Todas las preguntas

1
respuesta

XSS - doble comillas y barra invertida de escape

Actualmente estoy probando mi propio filtro XSS y no sé si lo pensé todo, así que necesito un consejo. Digamos que mi código se ve así: <script> var test = {src: "test", layer: {"input": "USER INPUT", "event": "ready"}}; </script&g...
pregunta 10.10.2017 - 18:10
2
respuestas

El inicio de sesión basado en clave SSH no es vulnerable al ataque de MiTM. ¿Es verdad?

Leí en alguna parte que cuando utilizo un inicio de sesión basado en clave en lugar de un inicio de sesión basado en contraseña, no es posible que ocurra un ataque Man-in-the-Middle. Esta pregunta no es sobre lo que es más seguro: inicio de...
pregunta 21.02.2018 - 15:32
1
respuesta

¿Qué define una vulnerabilidad CSRF?

Como parte de mi puesto en la empresa con la que estoy empleado, realizo una prueba de penetración manual en nuestra aplicación web (aún en desarrollo) para detectar vulnerabilidades. Durante las pruebas, intenté ver si nuestra aplicación web er...
pregunta 15.01.2018 - 14:24
4
respuestas

¿Es posible saber la clave si tenemos el valor original y el hash utilizando HmacSHA1?

Me preguntaba si sería posible saber la clave si ya conoces el valor original y el resultado de hash. Por ejemplo, digamos: '$value' = helloworld '$hmac_key' = 0123456789 '$result' = 6adfb183a4a2c94a2f92dab5ade762a47889a5a1 Con solo $...
pregunta 09.05.2012 - 11:37
3
respuestas

¿Por qué Chrome me dice que la directiva CSP 'require-sri-for' se implementa detrás de una bandera que actualmente está deshabilitada?

En mi Política de Seguridad de Contenido he incluido require-sri-for script . Sin embargo, en la consola de Chrome recibo un aviso (no un error, solo información):    La directiva de Política de Seguridad de Contenido 'require-sri-for'...
pregunta 24.02.2018 - 16:37
2
respuestas

Estudios sobre la actitud de los usuarios de Android con respecto a la seguridad

Soy un último año BSc. estudiante de seguridad informática y amp; Forense en la Universidad de Bedfordshire (Reino Unido). Estoy investigando las percepciones de seguridad en las plataformas Android y cómo educar a los usuarios sobre la necesida...
pregunta 24.10.2012 - 10:17
4
respuestas

dirección IP en SubjectAltName

¿Se permite especificar IP como nombre DNS para el certificado SAN?     
pregunta 30.05.2017 - 12:37
2
respuestas

SSL: ¿Las autoridades de certificación saben algo acerca de los usuarios de un sitio web?

Me pregunto qué sentido tiene esta frase. "Estoy usando un certificado autofirmado porque no quiero que las autoridades de confianza aprendan nada sobre mis usuarios". Los CA simplemente firman el certificado del servidor con su clave privada, n...
pregunta 14.09.2017 - 00:08
2
respuestas

¿Hay alguna forma de evitar que se abuse de los comentarios para comando y control?

Las redes de bots normalmente se coordinan a través de protocolos como HTTP o IRC. Sin embargo, para hacer que el tráfico de comando y control sea más difícil de detectar, los atacantes ocasionalmente han recurrido a otros canales , incluyendo...
pregunta 29.06.2017 - 22:31
1
respuesta

¿Qué hace '& ==;' ¿Qué significa con respecto a Python Django y sobrepasando WAFs?

Estoy leyendo las diapositivas de alguien sobre cómo evitar los WAF.    &==; : Python Django entre parámetros;    FooBar==POST verb : Apache con PHP;    <%I%M%U011e>==<IMG> : IIS ASP Classic;    ;/...
pregunta 21.09.2017 - 04:04