Todas las preguntas

4
respuestas

Buscando ejemplos de aplicaciones conocidas que utilizan hashes sin sal

¿Alguien sabe de una aplicación conocida que aún utiliza hashes sin sal para el almacenamiento de contraseñas? Estoy buscando un ejemplo para una próxima conferencia sobre Rainbow Tables, y creo que agregaría peso a la discusión si tuviera un ej...
pregunta 09.04.2011 - 04:38
2
respuestas

¿Ataque de tiempo contra HMAC en cifrado autenticado?

En una respuesta a otra pregunta mía , se observó que una clase que usa funciones de comparación de cadenas estándar cuando revisar el HMAC en cifrado autenticado haría a la clase vulnerable a ataques de tiempo contra el HMAC. No puedo ver...
pregunta 08.12.2014 - 15:42
7
respuestas

¿La criptografía ha alcanzado el nivel de desarrollo donde la ingeniería social es el único método confiable de ataque?

Tenga en cuenta que para el propósito de esta pregunta, "ingeniería social" significa extraer información de los seres humanos, sean sus métodos compatibles con los Convenios de Ginebra o no. En pocas palabras: ¿Existen métodos criptográf...
pregunta 09.08.2012 - 07:20
4
respuestas

¿Es un riesgo de seguridad mostrar el servidor que estoy ejecutando en las páginas de error?

Acabo de darme cuenta de que la página 403 Prohibida (la predeterminada, no la personalizada) muestra información del servidor:    Servidor Apache / 2.2.3 (Red Hat) en ... Puerto 80 ¿Está revelando esta información un riesgo de seguridad?...
pregunta 30.06.2011 - 13:58
3
respuestas

¿Qué tan seguro es aSSL (javascript)? ¿Imita efectivamente SSL?

Algunos de ustedes pueden estar familiarizados con el proyecto aSSL, que utiliza AJAX / PHP para imitar el protocolo SSL. Utiliza RSA 512 o 1024 para las claves, y AES para los datos reales. Me parece impresionante en concepto, pero tengo curios...
pregunta 23.11.2012 - 13:43
7
respuestas

¿Estrategias contra ataques de interferencia?

Tenemos algunos dispositivos que están diseñados para usar frecuencias / protocolos estándar, como GSM, CDMA, GPS, Wifi y Bluetooth, entre otros. Si bien nuestro enfoque no está pensado para ser usado por criminales de alto perfil (como el crime...
pregunta 23.08.2013 - 06:40
1
respuesta

¿Qué hizo mal Blackberry?

El NIST define una vulnerabilidad en el cifrado RIM Blackberry descubierta por última vez Octubre. Aparentemente, el sabor de PBKDF2 de Blackberry era débil. Dicen:    El mecanismo de copia de seguridad sin conexión en Research In Motion...
pregunta 05.08.2011 - 21:13
5
respuestas

¿Cómo se detecta algo tan simple como un keylogger en una computadora?

Encontré uno en línea, que quería probar en mi casa y ver si realmente funcionaba. Está escrito en C, y no es muy grande considerando que la mitad es solo un montón de casos para los que se presiona una tecla, por ejemplo: case VK_CAPITAL: fpu...
pregunta 17.02.2012 - 13:19
3
respuestas

Reportar sitios vulnerables

Toma este escenario: Usted navega por la web y encuentra un sitio web que es vulnerable a la inyección SQL. Al ser un buen chico / chica, le informas de la vulnerabilidad al propietario del sitio (si eres capaz de encontrar los detalles de co...
pregunta 25.11.2010 - 06:12
1
respuesta

¿Qué es un "Encabezado de host final" y cómo puedo probarlo?

Mi equipo ha estado investigando sobre las protecciones de WAF basadas en una herramienta de prueba de WAF lanzada en Black Hat este año. En la herramienta, hay una lista de pruebas de evasión de nombre de host , que en realidad son un resume...
pregunta 17.08.2012 - 19:37