Todas las preguntas

3
respuestas

¿Cómo proteger la autenticación REST JWT para que no acepte llamadas desde el navegador?

He creado un sistema cliente-servidor REST simple con tokens JWT. En mi aplicación móvil, puedes intercambiar tu token de acceso de Facebook / Google por un JWT con el servidor y luego hacer llamadas con él, por ejemplo. trae a tus amigos / d...
pregunta 24.01.2017 - 11:34
2
respuestas

Velocidad de descifrado de contraseñas según Hashcat

desde el sitio: enlace : utilizaron 4 GPU:    Hashtype: Keepass 1 (AES / Twofish) y Keepass 2 (AES)   Velocidad.Dev. # * .....: 416.5 kH / s       Hashtype: sha512crypt, SHA512 (Unix) Speed.Dev. # * .....: 452.4 kH / s       Hashtype:...
pregunta 25.02.2017 - 11:15
2
respuestas

¿Por qué no es suficiente aplicar las mejores prácticas de seguridad y usabilidad?

Tengo una pregunta sobre la tarea que sugiere que aplicar las mejores prácticas de seguridad y usabilidad no es suficiente para crear un sistema seguro y utilizable. ¿Qué me estoy perdiendo? ¿Por qué esto no es suficiente? Si sigo las mejores...
pregunta 21.01.2017 - 22:31
3
respuestas

vulnerabilidad de inyección de URL

Estoy ocupado con un pentest y encontré algo que me hizo preguntarme si sería explotable. Actualmente no soy capaz de explotarlo, pero quería asegurarme. También tengo curiosidad de por qué la aplicación / servidor se comporta como lo hace. E...
pregunta 13.03.2017 - 15:32
1
respuesta

Corrección de una vulnerabilidad OpenSSL en el firewall

Hicimos una prueba de Qualys en dos de nuestras URL más temprano hoy. Las URL son de dos aplicaciones similares (las mismas versiones) alojadas en servidores idénticos ubicados en dos centros de datos diferentes. La prueba devolvió 'A-' para uno...
pregunta 13.03.2017 - 12:17
2
respuestas

¿Dónde está ubicado el certificado BurpSuite CA HTTPS?

Siguiendo esta pregunta - > ¿Por qué son las solicitudes de HTTPS? ¿Bloqueado por Firefox cuando se usa un proxy ZAP? Estaba buscando en Burp Suite donde podía generar su CA para Firefox. No pude verlo. Fui al sitio web de Burp - > en...
pregunta 18.01.2017 - 22:02
3
respuestas

Almacenar la contraseña en sqlite vs pedirle al usuario que la escriba cada vez

Estoy creando una aplicación de Android que necesita ser muy segura. Para la autenticación en el servidor, utilizará la autenticación de 2 factores que incluye: username/password verificación de sms No puedo usar certificados de client...
pregunta 20.03.2017 - 14:27
2
respuestas

¿Cómo encontrar la IP real del sitio web detrás del proxy inverso?

He creado nginx como servidor proxy inverso que apunta al servidor apache de forma remota. Por supuesto, las IP son diferentes y supongo que solo estoy ejecutando el servicio http en ese servidor. ¿Cómo puede un atacante encontrar la IP del s...
pregunta 15.01.2017 - 17:58
1
respuesta

¿Pueden los riesgos de seguridad de la información esencialmente solo ser evaluados de acuerdo con el triángulo de la CIA?

¿Pueden los riesgos de seguridad de la información esencialmente ser evaluados de acuerdo con el triángulo de la CIA (Confidencialidad, integridad y disponibilidad) o existen otras posibilidades?     
pregunta 21.02.2017 - 23:50
1
respuesta

conformidad con PCI DSS

Tengo una pregunta que reclasifica el requisito de PCI DSS, sé que los datos de autenticación confidenciales, como CAV2 / CVC2 / CVV2 / CID4, PIN no se pueden almacenar con ningún formato ni encriptado ni con hash (Requisito 3.2). Pero los ba...
pregunta 21.02.2017 - 14:24