Todas las preguntas

3
respuestas

¿Cómo puede CloudFlare proporcionar un certificado SSL válido para dominios que no están bajo su control?

CloudFlare proporciona un proxy inverso y ofrece soporte SSL ("flexible", "completo", "completo estricto" y "sin llave"). ¿Cómo logra CloudFlare obtener un certificado válido para los dominios que no posee? Las autoridades de certificación n...
pregunta 30.09.2015 - 13:00
4
respuestas

Qué hacer con las compañías que se niegan a arreglar sus vulnerabilidades de seguridad

Mientras escribía software para una plataforma de aplicaciones desarrollada por una compañía de terceros, encontré una vulnerabilidad de seguridad en el código del marco que podría permitir que un código sin privilegios realice una escalada de p...
pregunta 05.12.2012 - 03:26
3
respuestas

¿Cómo distribuir certificados de clientes sin exponer la clave privada?

Estoy diseñando un servicio web B2B basado en WCF. Como el número de clientes es relativamente pequeño y la seguridad es una prioridad, elegí los certificados de cliente X509 para la autenticación del cliente. Estoy firmando los certificados...
pregunta 12.11.2012 - 06:55
4
respuestas

¿Por qué OWASP Top 10 (aplicación web) no ha cambiado desde 2013 pero Mobile Top 10 es tan reciente como 2016?

La última edición de OWASP Top 10 para aplicaciones web fue en 2013 y para aplicaciones móviles, es 2016. ¿Por qué es así? ¿Podemos decir que el patrón en las vulnerabilidades de la aplicación web está resuelto? ¿Ocurrirá lo mismo con las aplic...
pregunta 13.07.2016 - 14:32
4
respuestas

¿Por qué es tan difícil rastrear los orígenes de los ataques DDOS?

Según el artículo de Wikipedia sobre ataques informáticos de julio de 2009 , EE. UU. & Los gobiernos de Corea del Sur sufrieron un ataque DDOS en sus sitios web. Sin embargo, hasta ahora no han podido encontrar ninguna evidencia sustancial...
pregunta 04.03.2014 - 10:29
2
respuestas

¿Bloqueará Google HMAC-SHA1 junto con los certificados firmados SHA1?

Por lo tanto, en este momento, hay un impulso para pasar de los certificados firmados por SHA1 a los certificados firmados por SHA256 de Google. Mi entendimiento es que no puede usar SHA1 para firmar certificados, pero HMAC-SHA1 aún puede usarse...
pregunta 25.02.2016 - 11:31
3
respuestas

¿Por qué la víctima es un servidor en lugar de un cliente?

Acabo de terminar de crear mi propia herramienta de administración remota "un servidor para varios clientes uno" usando System.Net.Socket , - "fan de Watch Dogs: P" luegotratodebuscarengooglecómohacenodiseñansuprocesodeherramientas...
pregunta 27.08.2015 - 08:08
4
respuestas

Sesión secuestrada en caso de que JavaScript esté bloqueado [cerrado]

Si bloquea JavaScript para ser ejecutado. Entonces, ¿cuáles son las formas en que XSS puede ocurrir y cuáles son las posibles amenazas en caso de una aplicación de intranet?     
pregunta 02.10.2014 - 16:37
7
respuestas

Nmap informa que casi todos los puertos están abiertos

He notado que durante algunas evaluaciones al realizar una exploración de puertos TCP, Nmap informará que casi todos los puertos están abiertos para una máquina. Usando por ejemplo nmap -sS -PN -T4 target -p0-65535 , más de 20,000 puert...
pregunta 15.11.2013 - 15:34
5
respuestas

Esto es 2015. ¿Se ha explotado o craqueado SHA1 todavía?

fue al laboratorio de SSL de Qualys y probó un sitio web. Uno de los hallazgos dice que el sitio está firmado con el algoritmo débil SHA1withRSA e hice algunas investigaciones que dicen que deberíamos cambiar a SHA-2. ¿Puedo saber si SHA1 realme...
pregunta 22.04.2015 - 15:38