Todas las preguntas

1
respuesta

Escuchando teléfonos en modo desconectado o cuando está apagado

Ocasionalmente, hay informes sobre escuchas ilegales a través de teléfonos que están apagados o en modo fuera de línea (o avión). Las personas ponen sus teléfonos en el refrigerador o quitan las baterías para evitar este tipo de escuchas. ¿Ha...
pregunta 15.02.2015 - 13:05
1
respuesta

¿Cómo extraer de forma segura los hashes del controlador de dominio para la auditoría?

Estoy buscando herramientas o métodos que extraigan los hashes y los almacenen de forma segura para que puedan colocarse en una estación de craqueo dedicada. Obviamente, necesitan ser transmitidos y almacenados de forma segura. Supongamos que...
pregunta 21.02.2017 - 16:14
2
respuestas

¿Los servidores pueden usar el estándar U2F para imponer una categoría específica de hardware?

No me gusta que los navegadores, los clientes de correo electrónico, etc. se incluyan en las CA y que no haya un énfasis en un mecanismo de autenticación más descentralizado. Afortunadamente, no está tan mal, porque al menos, sea cual sea nuestr...
pregunta 22.02.2017 - 07:03
1
respuesta

Obtención de acceso remoto a través del recorrido de ruta para aplicaciones web de Java

He encontrado un recorrido de ruta para una aplicación web y puedo obtener el contenido de todos los archivos a los que el usuario del servidor web tiene acceso de lectura. Quiero seguir explotando esto. Con los sitios web de PHP, a veces pue...
pregunta 01.03.2017 - 18:11
1
respuesta

Evite la enumeración de fuerza bruta de clientes en una aplicación SaaS

Estoy involucrado en el desarrollo de una aplicación SaaS. Nosotros alojamos la aplicación para diferentes clientes. Un cliente es una empresa. Cada cliente obtiene acceso a su instancia alojada de la aplicación a través de una URL https://ex...
pregunta 19.02.2015 - 07:53
1
respuesta

Interceptar el tráfico de la aplicación HTTPS de Android

Estoy intentando interceptar el tráfico de aplicaciones de Android desde mi teléfono Android ... Básicamente, lo que funcionó antes fue que simplemente instalé el proxy de Fiddler en mi PC, exporté el certificado raíz (y lo agregué a mis disposi...
pregunta 17.02.2015 - 20:07
1
respuesta

Android: aplicación sin nombre sin la capacidad de eliminarlo

Lo siento si es la sección incorrecta, pero no sé dónde publicarla: Ayer, descargué un apk fuera de la tienda de juegos y me gustó un novato (me avergüenzo), no comprobé si era seguro o no. No estaba funcionando de todos modos, así que acabo...
pregunta 24.02.2017 - 20:22
1
respuesta

¿Es posible tener acceso completo a la LAN a través de una sesión de meterpreter? p.ej. para un ataque MITM

¿Es posible realizar un Ataque MITM a través de una Máquina de Windows comprometida en una LAN interna? ¿Cómo sería el escenario del atacante? ¿Cómo hacer esto?     
pregunta 20.02.2017 - 01:57
2
respuestas

Consideraciones de seguridad para administrar la red interna desde un sitio web externo

Con mis configuraciones de red anteriores, administré mi red conectándome a la dirección IP interna de mi enrutador (por ejemplo, 192.168.1.1). Recientemente cambié a google fibre e instalé su "caja de fibra" (un enrutador / módem combinado,...
pregunta 27.02.2017 - 14:08
1
respuesta

¿Cómo manejar OAuth2 refresh_token para el inicio de sesión sin sesión?

Estoy trabajando en una aplicación sin sesión de una sola página con el inicio de sesión de OAuth2 y una casilla de verificación "Recordarme". Cuando el usuario marca "Recordarme" al iniciar sesión, almaceno el token de actualización en LocalSt...
pregunta 27.02.2017 - 19:59