Todas las preguntas

2
respuestas

¿Cómo mitigo el cruce de directorios cuando la entrada suministrada por el usuario es un caso de negocio obligatorio?

Tengo una instancia en la que tenemos una aplicación que requiere la capacidad de configurar comandos sftp que son especificados por los usuarios administrativos. Se configuran a través del front-end de la aplicación. Veracode ha identificado co...
pregunta 21.03.2014 - 16:52
1
respuesta

¿Qué tan seguro es PKCS # 12

Necesito mover la identidad criptográfica del usuario entre varios dispositivos de usuario. En el sistema operativo solo tengo una opción: usar PKCS # 12 protegido por contraseña para importar la identidad al almacén seguro del sistema operativo...
pregunta 03.04.2014 - 10:01
1
respuesta

¿Qué hacer con los bytes adicionales en ECDHE-RSA-AES-GCM-SHA?

Estoy tratando de implementar, como un ejercicio, un protocolo basado en el conjunto de cifrado ECDHE-RSA-AES256-GCM-SHA384 . Como entiendo, se usa ECDHE para el intercambio de claves, RSA para la autenticidad de la clave...
pregunta 12.03.2014 - 08:38
2
respuestas

Cómo prevenir XSS de url

Encontré una vulnerabilidad XSS que se explota agregando un ataque en los parámetros de la URL. Por ejemplo, la URL original site.com/?s=login&m=forgotten Y la URL de ataque site.com/?s=login&m=forgotten" onload=alert(966)...
pregunta 02.04.2014 - 14:35
2
respuestas

Dual Firewall DMZ

Acabamos de aprender sobre firewalls y DMZ y estoy luchando para entender cómo se implementan estos en realidad. La arquitectura que hemos aprendido fue algo como esto: Supongamos que tenemos un sitio web de compras que permite a los usua...
pregunta 27.03.2014 - 13:49
1
respuesta

php crypt - trailing dollar sign - extrae solo la parte de sal del hash - rellenando la sal

Estoy leyendo sobre función crypt () de PHP. Tengo algunas preguntas al respecto - ¿Cuál es el significado del signo '$' al final de la cadena de sal que veo en la mayoría de los ejemplos? El manual no dice específicamente nada acerca de...
pregunta 12.03.2014 - 08:26
1
respuesta

¿Hay alguna manera de informar sobre el escaneo de direcciones IP en busca de Exploits? [duplicar]

Actualmente estamos ejecutando un sitio web utilizando .NET, y estoy usando el paquete Elmah para ver algunos errores y problemas en tiempo real. Me he dado cuenta de que hay varios errores en el registro de las direcciones IP que parecen e...
pregunta 27.03.2014 - 13:48
3
respuestas

¿Cómo puedo saber cuándo se creó un certificado?

Quiero saber si mis diversos proveedores cambiaron su certificado debido a Heartbleed, o si están usando un certificado vulnerable antiguo. ¿Cómo puedo saber eso? ¿La fecha "válida desde" también es la fecha de creación?     
pregunta 09.04.2014 - 11:25
1
respuesta

¿Es aquí donde entra en juego un nonce?

Estoy revisando el sitio web que desarrolló un amigo y estaba buscando errores e inquietudes generales. Al revisar, noté que él es muy pesado en las llamadas ajax que usan JSON a una API RESTful que mantiene en un servidor diferente. Si bien...
pregunta 10.03.2014 - 19:29
3
respuestas

¿Es una buena práctica incluir una URL de descarga de mi clave pública GPG en la firma de mi correo electrónico?

Me preguntaba si puedo poner una URL de descarga para mis destinatarios para obtener mi clave pública GPG fácilmente en mi firma de correo electrónico. ¿Es esta una buena práctica? Si no, ¿cuál es una buena alternativa?     
pregunta 13.03.2014 - 10:32