Todas las preguntas

2
respuestas

¿Cómo las aplicaciones web de alto rendimiento controlan los permisos para su contenido?

Entonces, creo que entiendo la lógica detrás de los estándares de autorización como OAuth. El token de OAuth contiene información sobre el usuario (nombre, rol, etc.), que puedo usar para proteger mi aplicación . Es sobre la última parte de...
pregunta 15.10.2015 - 12:29
1
respuesta

¿Se pueden utilizar los redireccionamientos de ICMP para redirigir el tráfico en una LAN?

Intenté solo intentar migrar un ataque MITM usando hping3 con redireccionamientos ICMP en mi testlab. hping3 -I eth0 -C 5 -K 1 -a 192.168.2.1 --icmp-ipdst 192.168.2.15 --icmp-gw 192.168.2.100 --icmp-ipsrc 192.168.2.105 192.168.2.105...
pregunta 23.10.2015 - 15:12
1
respuesta

Anonimato de sneakernet: información identificable sobre almacenamiento extraíble

A Alice, una informadora anónima, le gustaría transmitir documentos digitales a Bob mientras mantiene su anonimato. Por el motivo que sea, elige copiar los documentos en algún tipo de almacenamiento físico extraíble, por ejemplo: unidades fla...
pregunta 12.03.2015 - 06:20
2
respuestas

¿Cuáles son los riesgos de seguridad de PHP allow_url_fopen?

Recientemente estuve leyendo un artículo sobre file_get_contents y HTTPS . Una parte que me llamó la atención es:    Por supuesto, la configuración allow_url_fopen también conlleva un riesgo separado de   habilitar la ejecución rem...
pregunta 22.10.2015 - 16:01
1
respuesta

¿Cuáles son las implicaciones de seguridad de habilitar un agujero SNI en un servidor web?

Un servidor web (digamos Apache 2.4) implementa SNI. Se configura con un certificado de comodín firmado por SHA384 de 4096 bits (* .land.org) con un nombre alternativo del sujeto (land.org). La Autoridad de certificación tiene una ruta de confia...
pregunta 16.06.2015 - 01:05
1
respuesta

DHE_DSS vs. DHE_RSA

He estado estudiando para aprender sobre varias suites de cifrado y su rendimiento; Me pregunto acerca de la diferencia entre DHE_DSS_AES256_CBC ciphersuites y DHE_RSA_AES256_CBC ciphersuites. Supuse que el DSS es eficiente en comp...
pregunta 22.03.2015 - 02:28
2
respuestas

DNSspoof no funciona

Mi objetivo es DNSspoof. Mi red está usando un enrutador inalámbrico con la dirección 192.168.1.1 y el DNS primario es el mismo que la dirección del enrutador. He habilitado el Kernel IP Forward en Linux. El archivo host DNS es spoofhos...
pregunta 20.08.2015 - 16:10
2
respuestas

Yahoo mail hackeado: cómo recuperarse, cómo sucedió y cómo prevenirlo.

Algunos amigos me informaron ayer de que recibieron correos de spam con mi nombre como remitente. Las direcciones del remitente se parecen a [email protected] y [email protected] con la línea de asunto "de: Nombre Apel...
pregunta 31.07.2015 - 09:24
2
respuestas

¿Por qué LibreSSL PRNG no es seguro en Linux?

Del artículo El PRNG de LibreSSL no es seguro en Linux .    La primera versión de LibreSSL portable, 2.0.0, se lanzó hace unos días (seguida poco después por 2.0.1). A pesar de los números de versión 2.0.x, estos son solo lanzamientos de vis...
pregunta 16.08.2014 - 09:56
1
respuesta

¿Cuáles son los posibles problemas de seguridad al ejecutar código no confiable en un contenedor de Docker como usuario no root?

Ya he visto mucha tinta derramada acerca de cómo Docker no está lo suficientemente aislado para permitir que se ejecuten contenedores arbitrarios en un entorno de múltiples inquilinos, y eso tiene sentido. "Si es root en Docker, considérelo root...
pregunta 27.08.2015 - 20:25