Todas las preguntas

1
respuesta

¿Proporcionar más seguridad al colocar una máquina virtual reforzada en un VPS?

He estado trabajando con DigitalOcean por un tiempo y aunque me gusta eso, hacen que sea más fácil comenzar con una máquina virtual completamente funcional lista para funcionar. Sin embargo, me hace temblar un poco porque debo confiar en que nad...
pregunta 19.10.2015 - 18:21
1
respuesta

¿Cuáles son las formas más comunes de diseñar el proceso de verificación de los tokens de acceso entre el servidor de autenticación y el recurso utilizando OAUTH 2.0?

Estoy tratando de construir una aplicación web dividida en un grupo de microservicios y cada microservicio es un servidor de recursos. También tengo un servidor de autenticación separado. Me pregunto cuál de los siguientes enfoques es mejor o...
pregunta 16.10.2015 - 20:29
1
respuesta

Ajustes relacionados con la ejecución de javascript en el navegador

Supongamos que un filtro valida la url, pero no el protocolo. En ese caso, puedo XSS ese campo con la siguiente carga útil javascript://%0D%0Aalert(document.domain);//validurl.com Puedes pegar por encima de la carga útil en la barra de la...
pregunta 12.10.2015 - 07:28
1
respuesta

entidad externa XML - enumeración de archivos local (pregunta de evaluación de impacto)

Me encontré con un par de solicitud-respuesta XML al probar una aplicación web e intenté inyectar cargas útiles XXE. Tenga en cuenta que, en este caso, ningún parámetro XML enviado en la solicitud se reflejó en la respuesta. Sin embargo, como la...
pregunta 11.10.2015 - 17:54
2
respuestas

¿Spyware en el Sony Xperia z3 compact? comando: el cargador de arranque de reinicio de adb da como resultado un dispositivo de error no encontrado

Por favor, ayuda, ya que no puedo pagarle a un investigador de datos forenses. Por un tiempo ahora sospecho que me espiaron en mis computadoras y teléfonos celulares. Tengo dos Sony xperia Z3 compact y los dos actuaron de forma extraña última...
pregunta 08.10.2015 - 09:48
1
respuesta

Revocar la clave AIK

¿Cómo puedo prevenir ataques a través de claves de clave de identidad de atestación (AIK) comprometidas, como que un atacante falsifique la firma criptográfica de una clave AIK en TPM ?     
pregunta 08.10.2015 - 16:04
1
respuesta

¿Qué razones existen para no solo enviar la clave API como un encabezado HTTP a través de HTTPS?

Recientemente he estado luchando para usar la plataforma Azure de Microsoft (que ha sido un dolor insondable en el culo). Una cosa temprana que noté fue que la autenticación fue inesperadamente más difícil de lo que esperaba. La mayoría de las A...
pregunta 08.10.2015 - 21:22
1
respuesta

¿Cómo se llama “Intencionalmente engañosa Inteligencia Artificial para crear un resultado engañoso”?

Estoy escribiendo sobre un sistema informático que se basa en la Inteligencia Artificial y las amenazas que esto puede incluir. Un vector de amenaza (por ejemplo) es sembrar la IA bayesiana con contenido para sesgar el resultado. Pregunta S...
pregunta 07.10.2015 - 14:24
2
respuestas

¿Es la especificación de la versión de la biblioteca (pom.xml de Java, Requirements.txt de Python, etc.) fundamentalmente insegura?

Cada vez que veo un archivo pom.xml o requirements.txt que dice que un proyecto dado requiere una versión heredada específica de una biblioteca, me hace temblar. ¿Tengo razón cuando asumo que normalmente es inseguro especificar ver...
pregunta 12.10.2015 - 13:36
3
respuestas

¿Es posible cambiar el código del sitio web a través de una imagen incrustada [duplicado]

decir que permito a mis usuarios incrustar imágenes que otros pueden ver, luego el usuario vuelve a escribir la imagen como un archivo PHP, por ejemplo. ¿Eso supondría un riesgo para la seguridad de que él inyecte algo en mi código?     
pregunta 05.10.2015 - 20:04