Todas las preguntas

1
respuesta

¿Cadena entre comillas doble de JavaScript de XSS con HTML escapado posible?

¿Es posible inyectar XSS en una variable de JavaScript si un sitio web inserta un código HTML codificado, la entrada del usuario en una cadena con doble cita? var userString = "perfectly "safe" input from user?";    ...
pregunta 26.06.2013 - 21:38
1
respuesta

¿Cómo manejar dos conjuntos de credenciales de OpenID que proporcionan la misma información, en el mismo o diferentes proveedores de OpenID?

Hace poco me encontré con una situación en la que un sitio asumió que si las credenciales de dos personas diferentes para la misma red OpenID producen la misma dirección de correo electrónico, entonces eran la misma persona. Además, menos recien...
pregunta 08.05.2013 - 17:23
1
respuesta

¿Almacenar contraseñas de usuario en la base de datos NoSQL?

Actualmente estoy codificando el backend de un sitio web y no he encontrado un artículo en el que se discuta esto. Quiero almacenar todos los datos de mi aplicación en MongoDB, pero me gustaría dividir mi información sensible del usuario en una...
pregunta 12.09.2012 - 17:25
1
respuesta

Mitigando el riesgo de los pagos electrónicos

Al intentar vender un producto en línea (por ejemplo, en craigslist) hay muchas posibilidades de que sea el objetivo de un ingeniero social; Esto es especialmente cierto cuando se venden productos de alto valor como automóviles o joyas. Dada la...
pregunta 13.03.2012 - 22:23
1
respuesta

¿Qué tan segura es la clave TOTP en los teléfonos?

Nuestra compañía está considerando varias opciones para mudarse a MFA con el software OATH TOTP o yubikey OATH OTP. En lo que respecta a donde se almacena el secreto, soy consciente de que un dispositivo de hardware yubikey o similar está endure...
pregunta 26.03.2012 - 16:11
1
respuesta

¿Cuál es la mejor manera de administrar las claves de firma de paquetes?

Estoy investigando una forma de proteger y habilitar la responsabilidad de nuestros paquetes cuando se transfieren de nuestro equipo de desarrollo, a Q + A y, finalmente, a la implementación. Inicialmente, he creado un cuadro de firma en el q...
pregunta 30.10.2012 - 15:22
1
respuesta

Sulley - elemento opcional y verificación de comando

Actualmente estoy usando Sulley para borrar mi servidor FTP, pero tengo problemas. Quiero especificar el comando STRU, que tiene una sintaxis: STRU [<SP> F|R|P] <CRLF> Intenté especificar los argumentos opcionales F, R, P para...
pregunta 26.04.2012 - 12:14
2
respuestas

¿Patrones de diseño de seguridad establecidos?

En ingeniería de software, un patrón de diseño es una solución general reutilizable para un problema que ocurre comúnmente dentro de un contexto dado en el diseño de software. Wikipedia enumera muchos patrones de diseño diferentes, por ejemplo...
pregunta 30.03.2012 - 12:51
1
respuesta

Anatomía de una eliminación de Botnet

Entonces, Microsoft era En parte responsable por eliminar la botnet Kelihos en septiembre de 2011. Usaron una variedad de medidas legales y técnicas para hacerlo. No quiero adentrarme en las políticas y legalidades globales de las medidas lega...
pregunta 24.01.2012 - 20:13
2
respuestas

¿Posibilidad de inyección de SQL en el nombre de la tabla que filtra las comillas invertidas?

Estoy revisando una aplicación que tiene algo como esto: table_name = table_name.replace(''', '') c.execute('SELECT * FROM '' + table_name + ''') ¿Esto es realmente explotable si el atacante controla el campo nombre_tabla? El idioma es pyth...
pregunta 24.04.2013 - 23:21