Todas las preguntas

1
respuesta

¿Por qué Java permite el cifrado AES-256 bit en sistemas sin políticas de fuerza ilimitada de JCE si se usa PBE?

Es un conocimiento bastante estándar que, debido a los controles de exportación de criptografía, Oracle JRE se envía con la fuerza criptográfica "limitada" habilitada como se indica en Documentación JCA . Para AES, el max predeterminado es la l...
pregunta 05.12.2015 - 00:12
1
respuesta

Prevención de ataques WiFi malvados en sistemas integrados

Recientemente he estado observando algunos de los módulos WiFi de gama baja utilizados en dispositivos IoT, como el TLGUA06 y ESP2866. Como se esperaba, es posible autenticar estos dispositivos mediante el envío de un marco de autenticación....
pregunta 20.12.2015 - 17:54
2
respuestas

Mejores prácticas para implementar HTTPS en dispositivos integrados

Los dispositivos integrados, como enrutadores, cámaras IP, generalmente proporcionan acceso HTTPS a la interfaz de administración. Estas implementaciones de HTTPS generalmente tienen muchos problemas (certificados no únicos, certificados autofir...
pregunta 26.04.2016 - 08:26
3
respuestas

¿La verificación de una fracción adicional de un archivo reduce las posibilidades de colisión?

Si tengo un archivo de longitud indeterminada y genero el SHA256 de ese archivo, luego genero el SHA256 de la primera mitad y la última mitad, luego verifico los tres, ¿eso disminuye las probabilidades de un ataque de colisión? Ejemplo básico...
pregunta 16.03.2016 - 03:05
3
respuestas

Después de codificar el proceso con msfvenom, mi herramienta no funciona. ¿Por qué?

Intenté codificar mi herramienta, que fue desarrollada por mí con Ruby, usando msfvenom de Metasploit Framework y tengo éxito. Mi código fuente fue codificado completamente. Pero, cuando intenté usar mi herramienta codificada, encontré un error...
pregunta 07.03.2016 - 07:35
1
respuesta

¿El uso del cliente mantiene el servidor Keybase honesto incluso si también usa la interfaz web?

De acuerdo con documentación de Keybase :    [Los] clientes de Keybase en la naturaleza desempeñan un papel crucial para mantener el servidor Keybase honesto. Verifican la integridad de las cadenas de firmas de los usuarios y pueden encontra...
pregunta 11.02.2016 - 22:38
1
respuesta

¿Cómo se puede proteger el firmware del TPM de la manipulación?

Sé que un TPM incluye memorias ROM, no volátiles (por ejemplo, EEPROM) y volátiles (por ejemplo, SRAM). El firmware ejecutable se almacena en la ROM, como varios controladores y comandos. Pero esta vez, quiero saber cómo se puede proteger el...
pregunta 23.11.2015 - 07:00
1
respuesta

¿El uso de HttpServletRequest.getQueryString () para un encabezado de respuesta es vulnerable a la división de respuestas?

Me han dicho que al utilizar HttpServletRequest.getQueryString() en un encabezado de respuesta hace que mi aplicación sea susceptible a los ataques de división de respuesta HTTP, pero no veo cómo. Está claro en el caso de getPara...
pregunta 29.11.2015 - 21:40
1
respuesta

Certificados S / MIME y “fuga de información”

Estoy considerando obtener un certificado S / MIME que verifique mi nombre y dirección de correo electrónico. He estado tratando de determinar qué información "se filtra" si lo hago. La página de Wikipedia en S / MIME dice :    Según la p...
pregunta 07.11.2015 - 21:05
3
respuestas

¿Cómo compilar el exploit java_atomicreferencearray (CVE-2012-0507) para ejecutar calc.exe en el sistema?

Me interesé en los exploits de Java y me topé con esto: enlace Es el código fuente del exploit de Java, por lo que aunque mi conocimiento de Java es limitado (aprendí algo en la escuela secundaria), traté de entender lo que sucede en el...
pregunta 23.03.2016 - 13:40