Todas las preguntas

3
respuestas

La enumeración del nombre de usuario como una amenaza

He encontrado una vulnerabilidad de enumeración de nombre de usuario a través de la cual puedo determinar si un usuario en particular está registrado en ese sitio. Mientras intenta la fuerza bruta, después de 5 intentos, solicita un código CA...
pregunta 24.03.2014 - 19:20
2
respuestas

Estrategia de protección contra ataques del diccionario Keepass

Aunque estoy bastante interesado, soy todo menos un experto en seguridad de la información, reenvíeme a cualquier recurso útil si mi pregunta es estúpida o corríjame si mis suposiciones son erróneas. Al leer la página de seguridad de Keepass ,...
pregunta 19.04.2014 - 21:45
3
respuestas

ocultando javascript en la imagen

He leído una publicación en thehackernews y busqué en la red para encontrar cómo funcionó. ¿Cómo puede alguien agregar javascript en una imagen de manera que cuando se muestra la imagen puede ejecutar un script? ¿Se puede hacer esto con...
pregunta 04.04.2014 - 16:33
2
respuestas

Cómo ocultar / detectar el algoritmo simétrico de PGP utilizado

Al cifrar simétricamente un archivo, (no firmar, no es una pregunta de cifrado asimétrico), es posible ocultar el algoritmo de cifrado utilizado, o si ya está oculto, pero solo se muestra en los sistemas como resultado de ser cacheado de algun...
pregunta 19.08.2014 - 18:38
1
respuesta

PRF, IKE y función hash

El término PRF se menciona en la documentación del protocolo IKE (Internet Key Exchange) . ¿Qué es un PRF? ¿Cuál es la diferencia entre un PRF y una función hash? ¿Qué PRF se utilizan en el protocolo IKE?
pregunta 09.05.2014 - 19:02
1
respuesta

¿Cómo puedo obtener la dirección IP para un Servicio Oculto ToR (HSP) con una dirección .onion?

Me gustaría averiguar la dirección IP de una dirección .onion dada. ¿Es posible para mí simplemente asignar un nodo de salida (que yo controle) a mi cliente y simplemente monitorearlo para determinar qué dirección IP utiliza ese nodo de salid...
pregunta 29.06.2013 - 18:55
1
respuesta

Sistemas criptográficos fuertes implementados adecuadamente [cerrado]

He leído este artículo sobre la revelación de que en 2010, la NSA y GCHQ rompieron los principales mecanismos de cifrado, incluidos los cuatro grandes (hotmail, facebook, google, yahoo) y otros mecanismos de cifrado.    Las agencias aún no ha...
pregunta 06.09.2013 - 05:45
1
respuesta

Evite involucrarse en actividades delictivas al usar Tor

¿Qué pasos debe seguir un usuario de Tor para asegurarse de que no se involucre en la actividad delictiva de otros usuarios de Tor? Por ejemplo, recientemente encontré un Artículo de Tech Republic por Patrick Lambert que dice que actuar c...
pregunta 15.09.2013 - 12:26
4
respuestas

¿Existe algún riesgo en permitir más intentos fallidos de inicio de sesión antes de hacer autostop por más tiempo?

La mayoría de los servicios y software parecen tener una configuración baja de "ráfaga", como de 3 a 5 intentos de inicio de sesión antes de un autoban temporal por un par de minutos. Especialmente los bancos tienen un límite muy bajo antes de q...
pregunta 07.09.2013 - 21:59
3
respuestas

comparando algoritmos de hashing de contraseñas - ¿ideas de PoC?

Bien, comencé a trabajar para una empresa de consultoría de seguridad y recomendamos SHA 256 (con salt) para el hashing de contraseñas porque MD5 es demasiado débil. He leído algunas respuestas brillantes (¡la lista es demasiado larga!) En sec.S...
pregunta 12.10.2013 - 18:51