Todas las preguntas

2
respuestas

PKCS # 5 ¿Privacidad de la sal? [duplicar]

En la documentación oficial del estándar PKCS5 V2.0, podemos leer "La sal se puede ver como un índice en un gran conjunto de claves derivadas de la contraseña, y no es necesario mantenerlas en secreto". La parte "no es necesario mantenerl...
pregunta 30.05.2011 - 14:20
1
respuesta

Implementación de una red WiFi de campus que se autentica en un AD LDAP

Estamos buscando implementar alrededor de 15-20 puntos de acceso Cisco 1131ag en el campus. He estado leyendo sobre diferentes métodos de autenticación, pero no sé cuál será la mejor solución a largo plazo que permita un equilibrio entre la admi...
pregunta 01.07.2011 - 13:57
1
respuesta

¿Cómo ser tomado en serio cuando se hace una divulgación responsable?

La semana pasada, mientras leía un artículo en un sitio web, la URL que termina en .php?id=1 solo solicitó que se realizara una prueba de SQLi. Cuando confirmé que era vulnerable, también descubrí que no había ningún filtro de entrada de...
pregunta 17.05.2018 - 12:05
2
respuestas

HTTP Content-Policy-Security-Nonce and Caching

¿Alguien aquí puede aclarar cómo afecta el almacenamiento en caché al agregar un nonce=value a todos los javascript en línea? Si el nonce debe ser único e impredecible, entonces uno tendría que deshabilitar todo el caché del lado del s...
pregunta 02.12.2016 - 23:22
1
respuesta

Previniendo XSS en SVG

Actualmente, al evaluar una aplicación, descubrí que es posible enviar un relleno SVG que contenga Javascript (la aplicación también es vulnerable a XXE). Me pregunté si había un método para prevenir esas vulnerabilidades y asegurar el formulari...
pregunta 16.01.2017 - 10:40
3
respuestas

¿Razón para usar solo secretos como claves API?

Muchas API protegidas con claves API solo usan la clave secreta (es decir, una contraseña) sin algo como un ID de cuenta o nombre de usuario. Por ejemplo, Stripe API usa la clave secreta como nombre de usuario en Autenticación básica, dejando...
pregunta 12.04.2018 - 13:45
2
respuestas

¿Las claves FIDO U2F (como las de Yubikeys dobles o las de Google Titan) se ven socavadas por el proceso de recuperación de la cuenta de Google?

De acuerdo con la página de información de Google aquí: enlace    Si no tiene otro segundo paso u olvidó su contraseña       Nota:   La verificación de 2 pasos requiere un paso adicional para demostrar que usted es dueño de un   cuenta. De...
pregunta 10.10.2018 - 22:25
1
respuesta

¿Cómo hago sandbox para el usuario JS sin utilizar una VM, un transpiler o una API basada en la lista blanca?

He investigado y existen algunas formas sólidas para el usuario de sandbox JS, a saber: Use una máquina virtual JS que ejecute JS utilizando una forma de espacio aislado de js, como VM.js Use un transpiler como Google Caja, que agrega co...
pregunta 01.09.2016 - 05:28
1
respuesta

Seguridad de red a nivel del sistema (Clasificación de paquetes y etc.) - SELinux y Libnftnl

Leí que Libnftnl es una biblioteca de espacio de usuario que proporciona una interfaz de programación de enlace de red de bajo nivel para el subsistema nf_tables del kernel y utiliza NFTables. Como es un tema relacionado con el kernel, la pri...
pregunta 20.12.2016 - 06:12
1
respuesta

WiFi Deauth Attack ¿equivalente para bluetooth?

He utilizado ataques de autenticación de WiFi en el pasado para eliminar con éxito los dispositivos WiFi conectados de mi red LAN. Por lo que puedo decir, el atacante simplemente falsifica a un cliente y le envía al punto de acceso un cuadro...
pregunta 29.09.2016 - 00:31