Todas las preguntas

1
respuesta

XSS de salidas JSON

En el libro "Ataques XSS - Explotaciones y defensa" Jeremiah Grossman escribe:    La vulnerabilidad encontrada en el lector de Google se debió a que los desarrolladores pensaron que JSON solo iba a ser visto por el script de llamada. Los desa...
pregunta 30.01.2017 - 18:25
1
respuesta

¿podría la instanciación dinámica de objetos + el lanzamiento arbitrario en java podría llevar a un RCE?

Estaba haciendo una prueba para un programa de recompensas de errores, no puedo decir más porque se ha corregido pero no se ha revelado. Todavía me pregunto, sin embargo, ¿el reportero obtuvo un RCE? Un servicio web esperó XML, primero intent...
pregunta 07.01.2017 - 13:35
1
respuesta

¿Qué autobuses que transportan información confidencial en una computadora en funcionamiento son vulnerables a la inhalación?

¿Se ha investigado qué buses en una computadora se pueden analizar mientras están activos, sin reiniciar el sistema para insertar un dispositivo proxy? Por ejemplo, imagino que I2C sería muy fácil de detectar porque los cables están expuestos y...
pregunta 05.04.2016 - 01:52
2
respuestas

Cómo rescato mi hardware de un troyano

Obtuve algo de hardware de China que viene con un archivo RAR que contiene un archivo "instalador de controladores", así como un archivo, lpk.dll , que parece ser un troyano que infecta archivos RAR . Ahora estoy bastante preocupado po...
pregunta 06.01.2017 - 20:38
1
respuesta

¿Protección contra correo no deseado para claves GPG públicas?

Las claves públicas publicadas en un servidor casi siempre contienen correos electrónicos. ¿Existe algún tipo de protección contra los recolectores de bots que usarán ese correo electrónico para el spam?     
pregunta 02.04.2016 - 00:13
1
respuesta

¿Por qué SELinux no impide el acceso a este archivo?

Tengo un cuadro de vainilla CentOS 7 con SELinux que cumple con la política específica: $ ls -lZ /etc/resolv.conf -rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/resolv.conf $ sudo id -Z unconfined_u:unconfined_r:unconfined_t:s0-s...
pregunta 08.04.2016 - 00:32
2
respuestas

¿Buenas fuentes de números aleatorios impredecibles disponibles públicamente?

No estaba seguro de preguntar esto por criptografía o seguridad, pero como se trata de servicios y confianza del mundo real, pensé que este es el mejor lugar. Considere que yo y mis amigos (a quienes no confío para los fines de esta pregunt...
pregunta 29.01.2017 - 14:32
2
respuestas

¿Bots con cortafuegos en botnets UDP p2p?

Una cosa que no entiendo sobre las botnets peer to peer, es cómo un bot permanece conectado a la red considerando que el protocolo utilizado es UDP. Dado que el UDP no tiene conexión, y el bot está detrás de un firewall, los paquetes no lo al...
pregunta 31.03.2016 - 22:06
1
respuesta

¿Cómo listar todos los permisos solicitados por una extensión?

Para instalar una extensión, el navegador (navegador web Chromium) nos da una alerta " puede leer todos los datos en su computadora y los sitios web que visita ", a veces necesitamos instalar una extensión como mínimo para bloquear AD, ¿Es posib...
pregunta 06.04.2016 - 20:18
1
respuesta

¿Importa la forma en que se representa la información antes de firmarla?

Tengo mensajes que formarán un registro permanente y se almacenarán durante mucho tiempo. Me importa la integridad, la autenticación y el no rechazo, por lo que pretendo que los clientes que crean esos mensajes los firmen con claves privadas ant...
pregunta 30.03.2016 - 01:31