Todas las preguntas

2
respuestas

¿Cómo puede un usuario obtener una autenticación sin autorización?

Tengo un back-end (API) y un front-end, por ejemplo, un servidor web, y tengo usuarios y proveedores de ID. El servidor web es proporcionado por una tercera parte y puede ser una aplicación móvil, pero en cualquier caso, el usuario lo usa par...
pregunta 22.01.2015 - 09:50
1
respuesta

Entendiendo la salida de nmap / la explicación del autor ... (Scapy)

Acabo de leer este ejemplo y la explicación (a continuación) en el libro de OReilly Security Power Tools (2007) en la sección 6.3 que está escrito por el creador de Scapy, Philippe Biondi. Creo que el ejemplo es muy interesante, pero no entien...
pregunta 06.01.2015 - 18:54
1
respuesta

¿Cómo se usa la etiqueta QSS como carga útil en un ataque XSS?

He recibido un informe de un cliente que enumera las vulnerabilidades de XSS. El informe muestra vulnerabilidades reflejadas de XSS. En cada vulnerabilidad, la carga útil reflejada es un <qss> no cerrado Normalmente, cuando leo s...
pregunta 05.01.2015 - 17:00
1
respuesta

¿Por qué no oAuth for Authentication - AKA lo malo de OpenID Connect [duplicado]

Leí muchas preguntas y respuestas en este foro que indican que oAuth es para la autorización, OpenID es para la autenticación y muchos de ellos siguen diciendo que OpenID Connect proporciona autenticación al abusar de la autorización de oAuth....
pregunta 22.01.2015 - 08:22
1
respuesta

¿Es más seguro usar una clave PGP encriptada con una contraseña que solo la misma contraseña por separado?

Me gustaría cifrar algunas contraseñas maestras que deseo almacenar con seguridad adicional fuera de KeePass, en lugar de ser un registro normal en la base de datos. Estaba considerando almacenar estas contraseñas en un archivo RAR cifrado,...
pregunta 04.01.2015 - 15:40
1
respuesta

¿Por qué es tan lento el nmap en mi sistema (ubuntu 14.04)?

Acabo de empezar a aprender algo acerca de la exploración de puertos con nmap. cuando intento ejecutar un nullscan o cualquier otro tipo en una máquina virtual (win7 sin firewall), el análisis necesita mucho tiempo para realizarse: sebi@sebi-U...
pregunta 02.01.2015 - 07:23
1
respuesta

inyección de enlace SAPE en el sitio web

Actualmente tengo un sitio web de WordPress que se ha actualizado a la última versión 4.1, también el último tema instalado. El problema es esta red de enlace ruso SAPE que está inyectando código de malware en el footer.php. He encontrado el...
pregunta 11.01.2015 - 02:22
1
respuesta

¿Es posible crear una nueva clave para el cifrado simétrico de cada mensaje en lugar de negociar una sesión de larga duración?

El método normal de proporcionar un canal encriptado parece ser negociar una clave de sesión (usando Diffie Hellman o similar), luego usar esta clave para una sesión de larga duración. Incluso la IPSec que está basada en mensajes negocia primero...
pregunta 07.01.2015 - 22:40
1
respuesta

Definición de desarrollo de software externalizado ISO27002

En la sección 14.2.7 de ISO27002, se establecen los requisitos para el desarrollo de software subcontratado. Por el desarrollo de software subcontratado, ¿se refieren a software a medida o esto también incluye software comercial?     
pregunta 09.01.2015 - 10:54
1
respuesta

¿Hay una manera de lograr una perfecta seguridad hacia adelante con un mensaje direccional?

Usando, por ejemplo, ECDH y claves efímeras, es posible que dos partes establezcan una clave compartida con perfecta seguridad hacia adelante, es decir, incluso si se pierden las claves a largo plazo, no será posible recrear la clave generada po...
pregunta 09.01.2015 - 15:28