Todas las preguntas

1
respuesta

¿Cómo se puede explotar la inyección XML? ¿Necesita un ejemplo?

Encontré esta explicación para una vulnerabilidad en algunos cms:    El analizador XML en /WorkArea/Blogs/xmlrpc.aspx es vulnerable a XML   Ataques de entidades externas que pueden usarse para escanear detrás del perímetro   los cortafuegos o...
pregunta 26.02.2013 - 17:34
1
respuesta

¿Cuáles son los buenos recursos para aprender Metasploit?

Ok. Soy un newbiw (Script Kidde) y quiero aprender más sobre Metasploit. No por diversión, sino para comprender qué son las vulnerabilidades, cómo se utilizan y cómo se implementan. He escuchado mucho acerca de que el marco Metasploit es bueno....
pregunta 01.03.2013 - 06:55
3
respuestas

¿Por qué es necesario hacer coincidir la suma de comprobación de una descarga con otro archivo proporcionado por el mismo servidor? [duplicar]

En muchos servidores que proporcionan archivos para descargar, hay un archivo en el que se proporcionan sumas de comprobación para cada descarga. Example1 Example2 Comprendo que estas sumas de comprobación pueden proporcionarse para c...
pregunta 08.01.2013 - 13:22
2
respuestas

¿La prevención CSRF también previene el ataque XSS reflejado?

Lo que entiendo sobre el XSS reflejado es    ... Cuando una aplicación web es vulnerable a este tipo de ataque, lo hará   pase la entrada no validada enviada a través de las solicitudes al cliente ... [1] Suponiendo que mi aplicación we...
pregunta 27.08.2014 - 08:08
3
respuestas

¿Es una buena idea tener una contraseña "maestra"?

Aunque tengo una buena memoria de contraseñas, es bastante imposible tener una contraseña por aplicación. Sin embargo, debería ser ... Mi forma actual de lidiar con las contraseñas es tener cinco contraseñas y elegir una de ellas de acuerdo con...
pregunta 20.01.2013 - 01:01
1
respuesta

¿Desea anonimizar usuarios introduciendo retrasos estructurados en la red?

Aquí hay un esquema para desanonizar a un usuario en el que he estado pensando, solo por curiosidad. Intenté buscarlo pero no encontré mucho. ¿Esta técnica tiene un nombre? ¿Hay documentos o artículos sobre esto? ¿Y se sabe que está en uso? P...
pregunta 28.03.2014 - 14:18
1
respuesta

Las aplicaciones web terminan cadenas en null-byte

Acabo de realizar algunas pruebas de penetración en un sitio y he notado (y me he dado cuenta antes, pero ahora parece ser un buen punto para mencionarlo) que poner un byte nulo en la cadena de búsqueda termina la cadena allí. Eso está bien p...
pregunta 23.09.2013 - 16:21
4
respuestas

La forma más segura para que múltiples usuarios publiquen en una sola cuenta de red social

Supongamos que tengo un equipo u organización que administra una sola cuenta de Twitter y una única página de Facebook. Los diferentes usuarios deben poder publicar contenido en la misma cuenta. ¿Cómo puedo minimizar el riesgo de que esta cuenta...
pregunta 15.03.2013 - 15:29
1
respuesta

¿Heartbleed afecta a los servidores si OpenSSL solo se usó para generar el certificado?

Construí una aplicación que genera solicitudes de firma de certificado (CSR) usando el módulo PHP OpenSSL. ¿Existe alguna manera de que el error HeartBleed pueda afectar estas claves privadas (en uso) y CSR que se generaron mientras se inst...
pregunta 09.04.2014 - 02:55
1
respuesta

Elegir un proveedor de certificado SSL

¿Hay alguna diferencia de qué proveedor obtengo mi certificado SSL / TLS? En particular, ¿cuáles son las ventajas y desventajas de obtener un certificado SSL de Verisign frente a obtener uno de Thawte? ¿Cuál se puede utilizar en más dispositivos...
pregunta 03.03.2013 - 20:39