Todas las preguntas

2
respuestas

¿Debo ejecutar KeePass como administrador?

Si ejecuto KeePass como una aplicación normal, cualquier otra aplicación (por ejemplo, un navegador) puede hacer inyección de código y obtener mis contraseñas. Sin embargo, si ejecuto KeePass con derechos de administrador, mi navegador no pue...
pregunta 08.09.2016 - 14:00
1
respuesta

Autenticación de APIs de actualizaciones de software

Necesitamos mejorar un sistema que ofrece actualizaciones de software (archivos de firmware / software) a un dispositivo Bluetooth a través de una aplicación "complementaria" instalada en los teléfonos inteligentes de los clientes (ios / android...
pregunta 16.02.2017 - 08:41
1
respuesta

¿Cómo manejar el registro de OAuth2 donde la dirección de correo electrónico ya existe como cuenta de usuario?

Estoy creando un flujo de trabajo OAuth2 que abarca el sitio web y las aplicaciones móviles. Necesito saber si el siguiente flujo de trabajo es seguro, donde se completa un registro de OAuth2, pero luego se encuentra que la dirección de corre...
pregunta 11.02.2017 - 15:45
1
respuesta

¿Es seguro cifrar varios archivos con la misma frase de contraseña segura?

Utilizo GPG para cifrar simétricamente varios archivos, y sería más conveniente si todos tuvieran la misma contraseña segura. Es posible que alguien pueda acceder a varios de estos archivos. En esta situación, no me importa si la frase...
pregunta 16.02.2017 - 21:28
1
respuesta

XSS reflejado a través de JSON ejecutado con Burp, pero ¿cómo hacerlo en condiciones realistas?

Estoy probando un escenario con proxy Burp. Estoy ubicado en un sitio web https://website.com/web Hay una opción allí para eliminar un elemento, al hacer clic en él, se envía una determinada solicitud POST ( XMLHttpRequest...
pregunta 31.01.2017 - 23:39
1
respuesta

¿Evidencia de ataque XSS?

Tenemos un cliente que hace negocios con esta empresa y recientemente notamos que nuestro Barracuda bloqueaba sus correos electrónicos basados en el análisis de intención. Investigaciones posteriores demostraron que se debía a una URL incrustada...
pregunta 10.02.2017 - 22:38
1
respuesta

Métodos de verificación de IDP en el inicio de sesión iniciado por IDL de SAML2

¿Cuáles son los métodos que podemos utilizar para verificar el inicio de sesión iniciado por el proveedor de identidad en el inicio de sesión único de SAML2 (SAML2 SSO)? ¿Cualquier persona que tenga acceso a la clave privada de IDP puede crear u...
pregunta 17.02.2017 - 03:37
4
respuestas

¿Cuál es la forma correcta de escapar de los datos erróneos del enlace en javascript contra xss?

¿Cuál es la forma correcta de escapar de los datos erróneos la var " $actuallinkk " dentro de este script java <a href="javascript:reportUser(\''.$actuallinkk.'&act=inviteadmin\')">Invite Consultant to this conversation</a&g...
pregunta 02.02.2017 - 16:17
1
respuesta

¿Utilizando Fido U2F o similar como método de autenticación principal?

Me he estado preguntando acerca de esto por un tiempo, pero no pude encontrar mucho en la web, por lo que espero que alguien pueda orientarme en la dirección correcta para entender mejor este tema. ¿Sería viable / seguro usar algo como un dis...
pregunta 01.02.2017 - 13:43
2
respuestas

¿Cómo puede un sitio web bloquear las IP detrás de un NAT?

¿Un sitio web podrá bloquear mi dirección IP solo de alguna manera, mientras estoy ejecutando una herramienta de seguridad detrás de mi NAT? ¿O bloqueará la IP de la puerta de enlace de mis ISP?     
pregunta 03.02.2017 - 02:34