Todas las preguntas

2
respuestas

¿Herramientas para analizar el código de Perl 5? [cerrado]

Estoy buscando buenas herramientas para analizar y / o detectar problemas de seguridad en un gran proyecto de software escrito en Perl 5. Podría ser un análisis estático o dinámico. Sé que Perl es indecidable , pero decidí probar cualquier herr...
pregunta 08.11.2012 - 13:31
3
respuestas

¿Uso de tablas de arco iris con el hack del NY Times?

El NY Times publicó recientemente una historia sobre cómo fueron hackeados durante un período de cuatro meses. Los ataques supuestamente fueron llevados a cabo por parte del ejército chino. Una parte de la historia que me confundió fue la s...
pregunta 01.02.2013 - 05:54
3
respuestas

CSRF Contramedidas

Estoy trabajando en un libro sobre seguridad de aplicaciones web y dice que una contramedida CSRF efectiva es asignar un token pseudoaleatorio temporal a acciones sensibles realizadas por usuarios autenticados, y que los tokens secretos deben du...
pregunta 07.01.2013 - 14:01
6
respuestas

¿Cómo investigar la intrusión de Wi-Fi y dónde buscar pruebas?

Estoy tratando de averiguar cómo configurar una red para poder saber qué hizo un intruso (en el pasado) mientras estaba en la red después de que se detectaron. p.ej. Si alguien con una computadora portátil habilitada para wi-fi estacionada fuera...
pregunta 03.01.2013 - 23:43
2
respuestas

Cumplimiento de FIPS 140-2 frente a Validación y productos frente a módulos frente a cifrados

Algunos proveedores parecen anunciar que sus productos utilizan "algoritmos y cifrados compatibles con FIPS 140-2". Sin embargo, algunos de estos productos no se pueden encontrar en el sitio web del NIST que enumera los módulos criptográficos va...
pregunta 01.09.2015 - 19:46
2
respuestas

¿Es seguro compilar código no confiable?

Tengo curiosidad por compilar con gcc / g ++ / clang con el supuesto de que Los encabezados y los archivos de implementación son proporcionados por el usuario, pero no la configuración de compilación. (es decir, sin cd lib && make...
pregunta 01.07.2015 - 12:05
1
respuesta

¿Es CVE-2013-2566 un ataque práctico contra RC4 o aún es conceptual?

Es CVE-2013-2566 un ataque práctico contra RC4 ¿O aún conceptual y solo se aplica a WPA / TKIP?     
pregunta 11.06.2015 - 23:02
1
respuesta

¿Cómo pueden los verificadores de Heartbleed determinar si un sitio es vulnerable?

Por lo que sé, no hay una manera de obtener la versión de OpenSSL desde un sitio web. Entonces, ¿qué tipo de información obtiene un verificador de Heartbleed para que pueda determinar si un sitio está a salvo de Heartbleed o no?     
pregunta 14.08.2015 - 15:23
3
respuestas

¿Pueden los ataques CSRF robar información de inicio de sesión?

Lo siento muy nuevo en seguridad. Si un usuario inicia sesión en un sitio seguro (las credenciales son SSN y una contraseña) y luego es víctima de un CSRF, ¿puede estar en riesgo su información de inicio de sesión?     
pregunta 29.01.2016 - 14:49
3
respuestas

¿Por qué las autoridades de certificados raíz pueden emitir certificados para cualquier dominio?

¿Por qué se permite que las autoridades de los certificados emitan certificados en los navegadores para cualquier nombre de dominio? ¿Eso no implica que una autoridad de certificado raíz de alto pirateo pueda emitir certificados falsos de con...
pregunta 22.01.2016 - 21:37