Todas las preguntas

1
respuesta

¿La tokenización determinista de una tarjeta de crédito se ajusta a pci-dss?

Revisé un par de aplicaciones de comercio electrónico que utilizan el mismo procesador de pagos. En ambos casos, los comerciantes almacenan tokens de tarjetas de crédito generados por el procesador de pagos para ofrecer la función "recordar esta...
pregunta 25.04.2017 - 14:19
1
respuesta

Stagefright - construyendo una pila de ROP - girando

Aquí controlo r2 (vtable) 0xb6712c48 <+7120>: ldr r5, [r2, #28] 0xb6712c4a <+7122>: ldrd r2, r3, [r8] 0xb6712c4e <+7126>: blx r5 Como lo entiendo: Controlo el registro r2 (vtable), carga un valor de compe...
pregunta 01.04.2017 - 20:11
2
respuestas

Importancia de un corto tiempo de caducidad en JWTs

Actualmente estamos utilizando tokens web JSON para la autenticación de la API de nuestro sitio web. Usamos tokens de acceso de corta duración de 1 hora que se actualizan con un token de actualización revocable permanente. Ahora queremos agrega...
pregunta 18.02.2018 - 20:24
3
respuestas

Qué hacer con las contraseñas comprometidas a través de sitios maliciosos o hacks de sitios [duplicado]

Por lo tanto, mi pregunta o hipótesis es que: la mayoría de las personas usan solo algunas contraseñas para los servicios en línea de todos , obtener una de estas contraseñas significa que puede acceder a los sitios de esa persona fácilmente...
pregunta 06.04.2017 - 07:26
1
respuesta

Preguntándose qué es “v”, en la salida de cifrado de la biblioteca SJCL

SureSure = sjcl.encrypt("password", GetUserInputSTUFF, { adata: "{4687f36d-99d4-4223-ae53-46041297bef5}sbDU9DHzf0v3doe7aouZjEbW92750001489303Ktqr" }); Salida: {"iv":"a6J6pjHFos2HOIghbEkGLw==","v":1,"iter":50000,"ks":256, //.... } ¿Qué...
pregunta 14.04.2017 - 22:33
1
respuesta

¿Windows 10 hackeado? [cerrado]

He tenido una experiencia muy extraña con Windows 10, donde la barra de notificaciones, la barra de calendario, el menú de inicio comenzaron a aparecer y desaparecieron, y perdí el control sobre el cursor del mouse, que saltaba desde un editor d...
pregunta 06.04.2017 - 17:55
2
respuestas

¿La carga útil de Stuxnet S7-417 fue una actualización de firmware?

Estoy un poco confundido acerca del ataque de Stuxnet S7-417 . Creo que Stuxnet realizó un ataque de hombre en el medio en el PLC, cerrando varias válvulas en el fondo mientras falsificaba los valores en la imagen de entrada del PLC, dejó la l...
pregunta 27.04.2017 - 10:52
3
respuestas

falsificando un GUID

En el trabajo de hoy, tuve una discusión sobre la identificación de un usuario entre dos servidores web que tendrán acceso al mismo DB backend. Sugerí usar un GUID para identificar la sesión de usuario , pero un colega dijo que los GUID pueden...
pregunta 21.04.2017 - 17:00
1
respuesta

Traducción de token OAuth (opaco a JWT)

He visto un par de charlas que sugirieron el uso de la traducción del token de OAuth en la puerta de enlace de la API del token opaco al token de JWT. ¿Cuáles son las ventajas y desventajas de este enfoque, quién debería usarlo? Si estamos us...
pregunta 25.04.2017 - 08:02
1
respuesta

¿Puede el código SQL nativo ser vulnerable? ¿A qué?

Pude encontrar un artículo que menciona que la inyección de SQL se puede realizar en el código SQL en los siguientes escenarios en los que están involucrados procedimientos almacenados: sentencias EXEC Cursores dinámicos Suponiendo qu...
pregunta 15.03.2018 - 17:41