Todas las preguntas

2
respuestas

Descubrimiento automatizado de URL

Construí un servidor simple que contiene archivos estáticos en /files/ y estoy intentando descubrirlos usando herramientas automatizadas. Estoy usando wfuzz para atacar con fuerza la URL, pero ¿es esa la única manera? ¿Hay algún otro...
pregunta 02.08.2013 - 01:18
4
respuestas

¿Cómo debe un webmaster administrar todas sus contraseñas y claves?

Tengo varias claves privadas que uso para ssh en AWS, dreamhost, github, etc. Tengo frases de contraseña para todas estas claves privadas que son demasiado complejas para recordar. Tengo las contraseñas de mysql que mi aplicación y yo debemos co...
pregunta 30.08.2013 - 17:22
2
respuestas

Encriptando un campo de base de datos vacío en lugar de dejarlo vacío

En un sistema donde la información personal almacenada en una base de datos está encriptada, pero uno de los campos solo contiene datos en una minoría de casos, tendría más sentido dejar el campo vacío, en lugar de ¿cifrando una cadena vacía?...
pregunta 10.06.2013 - 09:03
6
respuestas

¿Cómo se puede detectar malware como Stuxnet?

Stuxnet y otros en esta lista de gusanos de Internet con tecnología de punta tenían ciertas características que eran muy sigilosos al filtrar la información que habían recopilado. Por lo tanto, logró pasar por debajo del radar y normalmente pa...
pregunta 10.10.2013 - 08:48
3
respuestas

Evitar que el javascript proporcionado por el usuario se publique en un servidor externo

Estoy escribiendo una herramienta interna que admitirá complementos escritos por otros desarrolladores. Idealmente, estos complementos tendrían un componente de Javascript para permitir que las personas creen widgets. Algunas de las páginas en l...
pregunta 20.12.2012 - 22:43
3
respuestas

¿Cómo diseñar una política de seguridad?

Recientemente, me encargaron la elaboración de una política de seguridad para una pequeña empresa de inicio compuesta por unas 30 personas en el Reino Unido. En gran medida, hasta ahora no se ha implementado nada concreto, sin embargo, dado que...
pregunta 24.07.2012 - 13:59
2
respuestas

¿Debemos comenzar a utilizar SHA-3? [duplicar]

¡Se ha finalizado SHA-3! Entonces, ¿qué piensa secuirty.se sobre el nueva función hash? ¿Debemos comenzar a reemplazar todos los usos de md5 / sha1 / sha2 con Keccak? ¿Es demasiado pronto? ¿O crees que el proceso NIST es lo suficientemente...
pregunta 04.10.2012 - 19:21
1
respuesta

¿Debo conservar las solicitudes de firma de certificado y las claves públicas?

He creado una clave RSA. Creado un CSR. Lo tengo firmado y ahora tengo mi certificado. Es para un servidor web que ejecuta https. La clave pública puede generarse a partir de la clave privada, por lo que supongo que no necesito mantener un ar...
pregunta 24.06.2013 - 14:14
2
respuestas

¿Qué tan peligroso es usar herramientas de auditoría de seguridad de terceros?

Esta pregunta está inspirada en dos preguntas relacionadas ( ¿Qué tan seguro es el retroceso para usar? , y Cómo instalar, configurar y usar LSAT en Unix SE). Además de una vulnerabilidad fechada (y parcheada) en LSAT (CVE-2007-1500) he bus...
pregunta 02.01.2013 - 21:18
3
respuestas

¿Cómo estimar el costo de la vulnerabilidad de una aplicación?

He visto datos sobre el costo de una brecha, incluidas muchas encuestas e investigaciones de Verizon y el Instituto Ponemon. Pero en términos de una vulnerabilidad real, ¿cuáles son los factores a considerar para determinar el costo? Pocas co...
pregunta 02.07.2013 - 20:06