Todas las preguntas

2
respuestas

¿El almacenamiento de CVV es compatible con los estándares PCI?

Por experiencia personal relacionada con el trabajo, sé que muchos "motores de reserva" almacenan la información CVV para las tarjetas de crédito de los clientes desde el momento en que se realiza la reserva hasta el momento en que el huésped sa...
pregunta 19.11.2014 - 12:58
2
respuestas

¿Puede un complemento o complemento de Firefox acceder a las contraseñas guardadas de los sitios web del usuario en modo descifrado?

Profundizando en la pregunta anterior en Complementos y complementos de Firefox riesgos de malware : ¿podría un complemento de Firefox descodificar y capturar las contraseñas de los sitios web cifrados guardadas en el navegador?     
pregunta 03.08.2011 - 13:25
2
respuestas

¿Qué amenazas vienen de CRLF en la generación de correo electrónico?

Tengo una aplicación en la que un escáner de código ha identificado las posibilidades de inyección de CRLF en algunas clases relacionadas con la generación de correo electrónico. Comprendo cómo podría usarse la inyección de CRLF contra mí en...
pregunta 25.03.2014 - 15:46
2
respuestas

¿Cómo puedo verificar la integridad de los archivos descargados?

Sé que usamos funciones hash para verificar la integridad de los archivos, etc. ... pero mi pregunta es ¿cómo podemos verificar la integridad de los archivos que se descargan desde algún servidor?     
pregunta 04.10.2013 - 11:44
2
respuestas

¿Qué hace realmente la variable ALLOWED_HOSTS de Django?

Se supone que debo configurar ALLOWED_HOSTS en la configuración de mi proyecto Django a los nombres de host que me pertenecen a    ... evite que un atacante envenene los cachés y los correos de restablecimiento de contraseña con enla...
pregunta 19.11.2013 - 04:41
3
respuestas

Rompiendo hashes MS-CACHE v2 usando GPU

Como la mayoría de las personas aquí sabrán, Windows almacena en caché las credenciales de dominio / AD en un formato conocido como MS-Cache v2. Obviamente, estas serían contraseñas excelentes para obtener durante una prueba de penetración cuand...
pregunta 14.02.2013 - 00:26
3
respuestas

¿Qué es “tmUnblock.cgi” y puede ser explotado por Shellshock? (Servidor web Linux / Apache)

Encontré lo que parece ser un posible intento de ataque Shellshock dirigido a tmUnblock.cgi , y estoy tratando de entenderlo. Estuve revisando los registros de acceso de Apache en busca de un pequeño servidor web durante el período ent...
pregunta 27.09.2014 - 00:06
2
respuestas

Cuando compra un certificado, ¿la autoridad de certificación tiene (una copia de) la clave privada?

Siempre asumí que el proceso para obtener un certificado (confiable, no autofirmado) fue más o menos así: Genera un par de claves públicas y privadas A partir de este par de claves generará un certificado Usted envía su clave pública, ce...
pregunta 04.04.2014 - 20:01
3
respuestas

Servidor Drupal comprometido - Quiero investigar la técnica / compromiso de ataque

Tengo un sitio de drupal ejecutándose en una instancia actualizada de CentOS 7 LAMP AWS EC2 (recientemente instalada hace un par de meses) y acabo de descubrir que de alguna manera, probablemente a través de un módulo de terceros codificado mal...
pregunta 12.04.2015 - 04:31
2
respuestas

¿Cómo una debilidad en un generador de números aleatorios lleva a un compromiso de todo el proceso criptográfico?

En las noticias, hay varios artículos ( aquí , aquí , y el punto de vista técnico ) que tienen que ver con una debilidad en un generador de números aleatorios. La pregunta es algo doble. ¿Qué síntomas muestran los RNG débiles? ¿Esto signi...
pregunta 12.09.2013 - 19:31