Todas las preguntas

2
respuestas

Un par de preguntas sobre el escaneo de puertos

Ahora mismo tengo muchas preguntas en mente, pero solo preguntaré las que me intrigan particularmente. Primero apagado:  - Escaneé mi dirección IPV4 pública; y devolvió algunos puertos que estaban 'abiertos' y algunos de ellos estaban 'filtra...
pregunta 20.10.2015 - 13:16
2
respuestas

REST API security

Estoy trabajando en una API REST que permitirá que una aplicación de Android se comunique con un sitio web. Lamentablemente, más de la mitad de las personas que lo van a usar no pueden hacerlo a través de HTTP, por lo que tendré que maximizar la...
pregunta 26.01.2015 - 09:49
1
respuesta

¿Existe una protección sólida contra CSRF ejecutada desde el servidor de Sames a través de un XSS almacenado?

Si tenemos un dominio con vulnerabilidad de XSS almacenado. ¡Sé que ya es crítico! .. Pero, estoy hablando de limitar el daño. El pirata informático no puede obtener la cookie de sesión del administrador, porque está marcada como httponly y e...
pregunta 12.01.2015 - 10:59
2
respuestas

La necesidad de incluirSubDomains en HSTS RFC

Estoy tratando de entender la directiva includeSubDomains en el estándar de seguridad estricta de transporte HTTP. En particular, sección 14.4 de RFC 6797 me confunde. El punto 2 dice    La solicitud HTTP enviada a uxdhbpahpdsf.example.c...
pregunta 21.01.2015 - 12:04
1
respuesta

Uso de "Security Compliance Manager" para auditar un sistema Windows

Encontré algunas publicaciones que sugieren el uso de Microsoft SCM (Security Compliance Manager) para auditar la seguridad de las soluciones de software de Microsoft: Herramienta de análisis de políticas de seguridad de Windows ¿Cómo a...
pregunta 12.01.2015 - 10:23
1
respuesta

¿Cuál es la forma más rápida de escanear todos los puertos de una sola máquina?

Estoy investigando y necesito una manera muy rápida de buscar puertos abiertos en una sola máquina. Para proporcionar algo de contexto, sé que mi máquina tendrá un puerto abierto a la espera de paquetes UDP durante aproximadamente 3 segundos. Es...
pregunta 03.02.2015 - 06:12
1
respuesta

¿Protección CSRF usando el token de autenticación en el encabezado HTTP? [duplicar]

Estoy trabajando en una aplicación web que almacena un token de autenticación en una cookie. La única protección CSRF es la comprobación de referencias. Estoy considerando mejorar esto moviendo el token de autenticación de las cookies a...
pregunta 27.01.2015 - 09:41
1
respuesta

¿La autenticación de correo electrónico con un hash (dirección + cadena) es inseguro?

Quiero darle a un suscriptor del boletín la posibilidad de cambiar su información. Ya que estamos usando una empresa externa para enviar nuestro boletín, no puedo poner una clave en el boletín (o no sin mucho esfuerzo). Creé un formulario don...
pregunta 03.02.2015 - 08:41
1
respuesta

Microsoft Bitlocker - Usar mi propia clave de cifrado / descifrado

¿Puedo usar mi propia clave de cifrado o descifrado y actualizarla siempre que sea posible?     
pregunta 12.01.2015 - 06:22
3
respuestas

Controlar las variables utilizadas por una aplicación

Una cosa que he visto comúnmente usada por los motores de trampas del juego es controlar las variables que usa el juego. La idea es editar las variables utilizadas por el juego para decir, darles municiones ilimitadas. Un ejemplo de este tipo de...
pregunta 20.01.2015 - 20:50