Todas las preguntas

2
respuestas

Probando que un MongoDB está mal configurado y públicamente accesible

Si las bases de datos Mongo aparecen en www.Shodan.io , ¿es una prueba definitiva de que son accesibles al público? ¿Existe alguna forma de probar que, sin duda, existe un riesgo sin conectarse realmente al servidor? (Este blog de Shodan en...
pregunta 16.05.2016 - 10:08
2
respuestas

Rompiendo el archivo .kdb (KeePass 1.x)

Durante un laboratorio de pruebas de penetración, obtuve acceso a un archivo .kdb de un KeePass 1.25 (administración de contraseñas). Por lo tanto, traté de encontrar una manera de obtener el archivo o la clave clave del archivo y, después de...
pregunta 08.08.2018 - 17:18
3
respuestas

¿Existe ahora un mayor riesgo de ransomware en el software pirateado?

El ransomware está en aumento, en gran medida debido a las nuevas oportunidades de pago a través de Bitcoin. ¿Se ha reportado un aumento en el riesgo de ransomware en software pirateado (es decir, llamado "warez") - fuera de los llamados lanz...
pregunta 27.05.2016 - 12:11
3
respuestas

¿Se debe negar el acceso público a nombres y tipos de archivos específicos de manera preventiva?

Es una buena idea desactivar (público) el acceso preventivo a ciertos tipos de archivos (por extensión) y / o por nombres de archivos: en la configuración del servidor (en el caso de un servidor de alojamiento compartido) o, como una regla...
pregunta 21.06.2016 - 09:36
1
respuesta

¿Por qué es más seguro el token de acceso personal github 2FA que la frase de contraseña?

Recientemente habilité la autenticación de 2 factores (2FA) en mi cuenta de github . Una vez que habilite 2FA, ya no podrá conectarse al repositorio usando su frase de contraseña normal usando las herramientas de la línea de comandos. Tienes q...
pregunta 18.05.2016 - 19:19
2
respuestas

vectores XSS en img src y url de imagen de fondo

Estoy un poco confundido acerca de las vulnerabilidades de XSS al servir img.src y url de fondo. Por lo que entiendo, la única forma de ejecutar javascript en este caso, es usar el protocolo javascript. Consideremos este ejemplo: if (location....
pregunta 01.06.2016 - 20:33
2
respuestas

Fortalecimiento de Javascript con respecto a Javascript Malware / Ransomeware como Ransome32

¿Existen métodos o estándares para reforzar las implementaciones de Javascript para ayudar a reducir / remediar los riesgos asociados con el malware de Javascript como el Ransom32 u otros tipos de ataques de Javascript ? enlace Las resp...
pregunta 20.06.2016 - 17:00
3
respuestas

¿Hay un indicador amigable para los civiles de seguridad de contraseña almacenada?

Tal como lo entiendo, al usar el cifrado unidireccional podemos proteger los datos de contraseña almacenados en caso de que sean robados. En términos generales, los datos de las contraseñas generalmente se pueden descifrar al adivinar, de modo q...
pregunta 28.05.2016 - 15:35
1
respuesta

Estandarización de sesiones entre dominios

Estoy buscando sesiones de dominios cruzados. Estas son sesiones que se comparten entre dos dominios como google.com y spotify.com. No busco información sobre las sesiones de dominios cruzados entre subdominios, ya que pueden compartirse amplian...
pregunta 15.05.2016 - 19:10
1
respuesta

¿Qué cifrado utiliza 1password?

Utilizo una aplicación de almacenamiento de contraseña en mi Mac llamada 1password . Me preguntaba si encripta los datos que almacena en mi computadora y los descifra usando una clave hecha de mi "única contraseña" o si tiene los datos almacena...
pregunta 11.06.2016 - 18:12