Todas las preguntas

2
respuestas

¿Es posible explotar una carga de archivos con la lista blanca y el hash de nombre de archivo?

Tengo una pequeña aplicación web. Debido a que es necesario cargar algunos archivos, reviso las extensiones de archivo con una lista blanca (tgz, jpg, png, pdf, zip, rar, txt, gif, py, c, rb). Además de eso, tengo el hash de los nombres de archi...
pregunta 18.11.2014 - 17:05
4
respuestas

Seguridad de aplicaciones móviles vs. PC tradicional Seguridad de escritorio en la Nueva Era [cerrado]

Llevo muchos años usando una PC con Windows. Desde que Android llegó al mercado, he sido muy cauteloso al instalar aplicaciones que requieren permisos no relacionados. Obviamente, estos permisos adicionales podrían usarse con fines malignos, o s...
pregunta 07.12.2014 - 08:23
1
respuesta

¿Cómo suspender un servidor de respuesta silencioso de la cuenta de Facebook?

Una amiga mía me habló del siguiente problema: ella solía iniciar sesión en Facebook en la computadora de su novio. Después de que rompieron, ella reconoció que él podía iniciar sesión en su cuenta desde su computadora. Por supuesto, luego ca...
pregunta 18.11.2014 - 12:36
2
respuestas

¿Ataca con caracteres extraños seguidos de algún javascript en una URL?

Estoy viendo un ataque muy extraño esta mañana desde un montón de instancias de VPS repartidas por todo Estados Unidos. Las URL se ven así: /js/bundles/,!0):this.element.propAttr( /js/bundles/&this.buttons.button( /j...
pregunta 26.11.2014 - 18:25
2
respuestas

Reenviando una conexión SSL

Mi pregunta general: ¿Se puede reenviar una conexión SSL bidireccional a un tercer servidor? Los detalles: Tengo un servidor WebLogic que admite SSL bidireccional, el certificado del lado del cliente es de su tarjeta CAC. El servidor weblogic...
pregunta 31.07.2015 - 13:53
2
respuestas

¿Los archivos de WordPress protegerán contra el inicio de sesión CSRF?

¿Se puede utilizar Wordpress Nonces para protegerse contra el inicio de sesión CSRF? enlace Revisé el código de la función y parece que solo se está utilizando la ID de usuario para la verificación. Eso significa que el atacante y la víctim...
pregunta 08.08.2015 - 16:06
1
respuesta

Alternativas de código abierto para manipular datos

Estoy desarrollando un complemento de navegador (Firefox) que esencialmente busca entradas maliciosas. Mi enfoque actual es almacenar todos los campos de entrada enviados en solicitudes GET / POST, intentar determinar de forma heurística posible...
pregunta 25.11.2014 - 18:53
1
respuesta

Detectar solicitudes SSL de LAN

Cuando inicio sesión en Facebook, utilizando Wireshark en la misma máquina, puedo leer los datos de solicitud en texto sin formato. Eso no sucede cuando estoy olfateando mi LAN: puedo leer los paquetes SSL pero ya están cifrados. ¿La única...
pregunta 04.08.2015 - 22:14
1
respuesta

¿Se puede propagar el malware a través de la transferencia de archivos Bluetooth en Android?

Soy consciente de algunos programas maliciosos que se propagan cuando dos dispositivos se emparejan mediante Bluetooth; ¿pero se puede propagar el malware cuando se envía un archivo limpio a alguien o se recibe a través de bluetooth? Si es as...
pregunta 05.08.2015 - 09:31
2
respuestas

Impedir el inicio de sesión web con las credenciales expuestas

Tenemos una situación aquí. El cliente para el que trabajo actualmente se coloca como una firma de corretaje de finanzas y su posicionamiento actual son: La firma tiene diferentes sucursales en diferentes ubicaciones La firma tiene una bas...
pregunta 08.08.2015 - 10:57