Todas las preguntas

5
respuestas

¿Cómo podemos entrar en la mentalidad del usuario?

Como gente de seguridad, tendemos a sobreestimar o subestimar las capacidades y la educación de nuestros usuarios, especialmente en términos de resistencia a los ataques de ingeniería social. Estereotípicamente, esto se debe a que todos somos...
pregunta 13.08.2012 - 07:40
2
respuestas

Verificar que la respuesta SAML proviene de una fuente confiable

Estoy en el proceso de realizar cambios en mi sitio para que podamos ser un proveedor de servicios SAML 2.0. Haremos SAML iniciado por IdP con federación de cuentas fuera de banda. Mi pregunta es la siguiente: dada una respuesta SAML que se p...
pregunta 17.05.2011 - 18:24
5
respuestas

Cómo ejecutar scripts HTTP nmap en puertos inusuales

¿Cómo puedo hacer que nmap ejecute los scripts HTTP en puertos que son inusuales para HTTP, por ejemplo, el puerto TCP 123? En algo como nmap -n --script="http* ..." -p123 target nmap no hace nada excepto verificar que el puerto 123 esté...
pregunta 28.04.2015 - 09:24
4
respuestas

¿Dónde informar públicamente de una vulnerabilidad, después de que el desarrollador la ignore? [duplicar]

Si he descubierto una vulnerabilidad y la he divulgado al desarrollador del sitio web / aplicación, ¿cómo debo revelarla públicamente? Le di al desarrollador tiempo suficiente para abordar el problema, según lo recomendado por esto . Sé qu...
pregunta 25.07.2016 - 13:31
1
respuesta

Problemas con en Crypto del navegador

Hay muchos artículos antiguos 1 sobre por qué el criptográfico en el navegador es una mala idea. La mayoría se resumen en: enlace    Creemos que SJCL proporciona la mejor seguridad que está prácticamente disponible en Javascript. (Desafor...
pregunta 08.08.2016 - 17:11
5
respuestas

Defender contra la falsificación de wifi

Desde hace unas semanas, alguien está ejecutando una red wifi que copia el SSID y el BSSID de mi enrutador privado, lo que resulta en cierta molestia, debido a que es expulsado de mi propia red de vez en cuando. Esto es especialmente molesto, po...
pregunta 01.07.2017 - 16:30
4
respuestas

¿Hay alguna forma de verificar las listas de contraseñas crackeadas sin revelar mi contraseña?

Quiero verificar si mis distintas contraseñas están en listas de contraseñas dañadas, pero no quiero escribir las contraseñas en línea. Por ejemplo, prefiero desplazarme por una lista ordenada de contraseñas que se han combinado de todas las tab...
pregunta 22.03.2017 - 23:00
2
respuestas

¿Complementos de Firefox que no utilizan HTTPS? Error de seguridad (?)

Si agrego una regla en Privoxy: echo '{ +redirect{s@http://@https://@} } .mozilla.org' >> /etc/privoxy/user.action entonces no puedo instalar los complementos de Firefox. ¿Por qué? ¡Pensé que los complementos de Firefox se instalaron...
pregunta 23.05.2011 - 08:45
2
respuestas

¿Cuáles son los riesgos reales de abrir puertos para juegos de varios jugadores?

Tenemos una aplicación de capacitación empresarial multiusuario desarrollada con el motor de juego Unity y estamos discutiendo las implicaciones de seguridad de agregar una regla de Firewall de Windows Defender que abra globalmente un puerto esp...
pregunta 01.02.2018 - 17:28
2
respuestas

¿Qué sucede si mi token anti-CSRF se ve comprometido por un ataque XSS?

La interesante pregunta de desbordamiento de pila "¿Las cookies protegen los tokens contra los ataques XSS?" se cerró como demasiado amplio, pero como se menciona en un comentario, hay una pregunta tangible de "¿Qué sucede si mi token anti-CSR...
pregunta 11.01.2018 - 04:34