Todas las preguntas

1
respuesta

¿Se necesita JavaScript para las vulnerabilidades de ejecución de código del navegador?

¿La máquina virtual JavaScript debe habilitarse en un navegador vulnerable para explotar un error de ejecución de código arbitrario? Hay una serie de errores en los controladores que no parecen involucrar JavaScript. Por ejemplo, CVE-2014-896...
pregunta 05.04.2016 - 12:28
3
respuestas

Pre-generando 'tokens seguros'

En nuestra aplicación web, hacemos un buen uso de los tokens de un solo uso. Por ejemplo, cuando alguien crea cualquiera de las tres "cuentas", restablece su contraseña o cualquier otra cantidad de cosas que requieren tokens aleatorios de un sol...
pregunta 11.03.2016 - 21:49
1
respuesta

¿Cuál es la diferencia entre el cumplimiento y la certificación de PCI-DSS?

El cumplimiento y la certificación de PCI-DSS parece que se usan indistintamente, pero no está claro cuáles son las diferencias. Por ejemplo, si está certificado, ¿significa que cumple y si cumple, puede solicitar la certificación?     
pregunta 15.03.2016 - 17:28
1
respuesta

Escalamiento de Privilige con CreateNamedPipe e Impersonation para Windows Server 2012

Mientras trabajaba con la aplicación basada en ventanas, supimos que la escalada de privilegios locales es posible cuando usamos el método CreateNamedPipe con personificación. Esta vulnerabilidad se informó en Windows Server 2000 y Server 20...
pregunta 10.03.2016 - 11:11
1
respuesta

Confiando en la unidad HTML con los detalles bancarios

Me di cuenta de que este era un buen lugar para aprender un poco acerca de las bibliotecas de confianza como HTMLUnit con información confidencial. Quiero crear un servicio que clasifique mis gastos, como mi propio mint.com personal. ¿Puedo...
pregunta 17.03.2016 - 18:22
1
respuesta

¿OpenID Connect Hybrid Flow devuelve el token de ID en el punto final del token?

En OpenID Connect, hay un flujo llamado "flujo híbrido". El flujo híbrido retorna, dependiendo del tipo de respuesta (por ejemplo, id_token code , id_token code token ), el token de ID inmediatamente. Mi pregunta si el punto final...
pregunta 08.03.2016 - 07:42
1
respuesta

Preocupaciones de seguridad con un error del servidor ASP.net [duplicar]

¿Hay algún problema de seguridad que pueda surgir de un error del servidor generado por ASP.net y que se envíe al usuario? Soy consciente de los posibles problemas de la información confidencial que se envía en el mensaje de error, pero ¿qué t...
pregunta 14.03.2016 - 15:12
1
respuesta

Sqlmap, ¿cómo avanzar? [duplicar]

Por lo tanto, estoy usando Sqlmap por un tiempo para probar la seguridad de mi empresa (somos demasiado pequeños para tener un chico de TI y estoy lo más cerca que están por ahora), ya logré acceder a la base de datos de forma remota y volcar...
pregunta 13.03.2016 - 19:24
1
respuesta

¿Cuáles son las ventajas de realizar una prueba de penetración a través de Docker?

Estaba mirando la publicación de blog de Kali sobre su imagen oficial de Docker , y Me preguntaba cuáles son los beneficios reales. ¿Por qué me gustaría ejecutar pruebas de penetración a través de una imagen docker? ¿Se trata de automatizar las...
pregunta 07.03.2016 - 16:40
1
respuesta

¿Existen fuertes razones técnicas para que los navegadores exijan TLS para http2?

Me doy cuenta de que hay preguntas similares en torno a este tema, sin embargo, creo que esto es lo suficientemente diferente / enfocado para no ser un duplicado. Espero que no suene como una caja de jabón. HTTP / 2 obliga efectivamente a TLS...
pregunta 13.03.2016 - 19:09