Todas las preguntas

2
respuestas

Cifrado de clave asimétrica que puede tener una clave de descifrado pública, pero la clave de cifrado no se puede calcular a partir de eso [duplicar]

Hay una forma en la que puedo distribuir una clave de descifrado pública, pero la clave de cifrado no se puede calcular a partir de esa clave, de modo que cualquiera que lea uno de mis mensajes cifrados, puede estar bastante seguro de que se e...
pregunta 26.06.2016 - 11:40
1
respuesta

Anulación de inicio de sesión con inyección de SQL

Estoy aprendiendo sobre la inyección SQL, y estoy jugando en mi máquina local con una aplicación web vulnerable, que tiene un formulario de inicio de sesión. La forma en que funciona el mecanismo de inicio de sesión es que primero busca si ex...
pregunta 31.03.2016 - 14:03
1
respuesta

TLS Mensaje finalizado

Estoy implementando un sistema similar a TLS , y me gustaría configurar un Finished de mensaje, para evitar los ataques de reproducción. Por lo que entiendo TLS , contiene un hash en los mensajes de intercambio anteriores...
pregunta 31.03.2016 - 14:26
3
respuestas

¿Es posible la intercepción SSL sin deshabilitar la fijación de claves públicas en el lado del cliente?

Actualmente estoy configurando un firewall pfSense en mi laboratorio. Es compatible con SSL Inception, que funciona bastante bien para la mayoría de los sitios. Pero hay algunos sitios que usan HTTP Pinturas de Clave Pública para evitar ataqu...
pregunta 05.07.2016 - 21:36
5
respuestas

¿Es beneficioso ejecutar el navegador desde una cuenta de usuario diferente para dispositivos personales?

En Linux, al iniciar el navegador, esto ayuda a la seguridad si no lo ejecuto desde mi usuario principal (no es root, pero todavía tengo mi información personal) de la siguiente manera: su FirefoxUserName -c 'firefox' Donde cada navegador...
pregunta 26.05.2016 - 14:47
1
respuesta

¿Cómo es posible que un dispositivo USB que se hace pasar por un teclado ejecute automáticamente un script sin la intervención del usuario?

Sé que el "USB Rubber Ducky" pretende ser un teclado para el sistema operativo, pero todavía no entiendo cómo puede lanzar un script ... El teclado normal no puede iniciar la pulsación de teclas por sí mismo, ¿verdad? ¿O tal vez se requiere u...
pregunta 20.06.2016 - 12:57
2
respuestas

pregunta básica sobre OpenSSL y AES-GCM

Mientras investigaba cómo cifrar las claves privadas para las conexiones SSH de la forma más segura posible, me he encontrado con los siguientes problemas de comprensión muy básicos (Nota: he utilizado la versión 1.0.2h más nueva de OpenSSL para...
pregunta 01.07.2016 - 08:35
2
respuestas

¿Cómo prevenir la última vulnerabilidad de ImageMagick?

Según el CVE-2016–3714 hay algunas vulnerabilidades en el programa ImageMagick (4 paquetes):    El filtrado insuficiente del nombre de archivo pasado al comando del delegado permite la ejecución remota de código durante la conversión de var...
pregunta 04.05.2016 - 18:56
3
respuestas

Administración de claves AES / Cómo intercambiar claves de cifrado

Actualmente estoy usando AES 256 para el cifrado de mi aplicación web y el contexto de la política de seguridad especifica que la clave de cifrado debe reemplazarse una vez cada pocos meses. Cuando eso sucede, ¿qué manejo hay que hacer en par...
pregunta 23.09.2014 - 18:41
3
respuestas

Configuración de Burp para permitir la conexión SSL

Estoy intentando capturar solicitudes / respuestas usando Burp en Mozilla. He configurado Burp Proxy en 8080 y he establecido la misma configuración de proxy en Firefox. Sin embargo, al probar el enlace de Gmail, Firefox muestra el mensaje de er...
pregunta 30.09.2014 - 08:43