Todas las preguntas

1
respuesta

¿Protege dnssec contra registradores maliciosos?

Con las teorías de conspiración recientes sobre el registrador MarkMonitor Inc., surge la pregunta, si DNSSEC protege contra un malintencionado del registrador ( o siendo atacado). Esto es especialmente interesante en el contexto de los cer...
pregunta 06.05.2012 - 20:27
4
respuestas

Caso de aplicación de JavaScript limitado: vectores de ataque y mitigación

Voy a desarrollar una aplicación de JavaScript de una sola página que permite la entrada a través de un área de texto. Esta entrada nunca se envía al servidor, nunca se muestra a otro usuario y solo se conservará en la memoria del navegador mien...
pregunta 30.10.2012 - 12:34
2
respuestas

¿Cómo hacer un pentest archivo de Flash en la aplicación web con alowscriptaccess = samedomain?

En el curso de un pentest encontré un archivo de película Flash (swf) que carga otra película Flash a través de loadMovie . El HTML es este: <embed width="388" height="350" src="http://www.domain.com/first_flash.swf?videoload=http://w...
pregunta 07.08.2012 - 19:18
2
respuestas

Si la aplicación accede a los datos cifrados en una base de datos, ¿significa que la aplicación tiene la clave de descifrado?

Estoy usando una aplicación vinculada a una base de datos que contiene datos confidenciales (números). Según el desarrollador, estos datos están encriptados. Sin embargo, puedo generar fácilmente un informe que muestre los números en texto claro...
pregunta 25.07.2013 - 07:00
3
respuestas

Teoría X vs Teoría Y en ingeniería social

Theory X y Theory Y son dos modelos de motivación humana, a menudo utilizados cuando se habla de la gestión de personas en los negocios. En resumen, Theory X postula que las personas son perezosas, evitarán trabajar y requerirán incentivos,...
pregunta 14.08.2012 - 10:11
2
respuestas

Al tomar posesión de un TPM en Windows 7, ¿cómo se deriva el SRK de la contraseña?

Cuando tomas posesión de un TPM en Windows 7, te encuentras con una pantalla como esta: Basado en este documento , tengo entendido que al completar este el cuadro de diálogo de alguna manera da como resultado la generación de la clave...
pregunta 17.03.2013 - 18:53
2
respuestas

¿Es obligatorio el nombre común para los certificados digitales?

Estoy trabajando en un proyecto, donde usamos Common Name como identificador básico de un certificado. Sin embargo, la importación de certificados sin el nombre común falla. ¿Cuál es la forma predeterminada de usar certificados digitales?...
pregunta 10.04.2014 - 14:18
1
respuesta

¿Impedir el envío de formularios de dominio cruzado con nonce?

No he hecho mucho en seguridad web antes, pero ahora necesito evitar que se envíe un formulario desde cualquier cosa que no sea mi propio dominio. Sé cómo bloquear esto en un archivo .htaccess, pero el referente no es muy confiable por lo que...
pregunta 08.02.2013 - 10:34
2
respuestas

Riesgos del cifrado del lado del cliente utilizando la Biblioteca de criptografía de Stanford

Estoy creando una aplicación web simple para chat encriptado. Cada mensaje se someterá a un cifrado AES de 256 bits en el lado del cliente, utilizando la biblioteca criptográfica de Stanford Javascript. Ningún dato no cifrado o información de co...
pregunta 25.12.2013 - 05:31
2
respuestas

¿Es seguro usar createHTMLDocument para sanear HTML?

Me pregunto qué tan seguro es usar createHTMLDocument para realizar el saneamiento de HTML. He intentado implementarlo de esta manera: function sanitize(string) { var elm = document.implementation.createHTMLDocument().body; elm.inne...
pregunta 05.02.2014 - 13:39