Preguntas con etiqueta 'appsec'

preguntas con etiqueta
2
respuestas

¿Se puede descifrar un trabajo de seguridad sin OSCP?

Tengo mi B.Tech en Tecnología de la Información con certificación CEHv8. Tengo 2 años de experiencia en evaluación de vulnerabilidades y 1,5 años de experiencia en automatización de Python. No puedo descifrar ninguna entrevista de trabajo de seg...
hecha 14.03.2018 - 12:39
2
respuestas

¿Qué datos no están cifrados en iOS 8+ cuando están “bloqueados”?

Escenario: iPhone 5+ con iOS 8+ con cifrado del sistema habilitado. El teléfono está encendido y bloqueado. (el usuario se ha autenticado (teléfono desbloqueado) al menos una vez desde el encendido, y luego se volvió a bloquear). ¿Qué dat...
hecha 15.09.2015 - 16:17
2
respuestas

DPAPI y malware

Estoy considerando usar la DPAPI de Windows para proteger una clave ECDH que utilizo para cifrar algunos datos en una base de datos local en una aplicación de escritorio de Windows. Soy nuevo en DPAPI, pero entiendo que DPAPI puede usar las cred...
hecha 27.01.2013 - 00:17
6
respuestas

¿Es suficiente un certificado autofirmado para probar la integridad de mi ejecutable?

Tengo un archivo EXE en Windows que tengo que distribuir. Se basa en tclkit, por lo que un adversario podría descomprimirlo, cambiar algunos scripts tcl y volver a empaquetar el archivo. Me gustaría saber si esto sucede alguna vez, para que s...
hecha 31.03.2012 - 19:15
4
respuestas

Ambiente seguro para servidores con datos privados confidenciales

Estoy desarrollando una aplicación web que expondrá una API pública al mundo, pero almacenará datos personales muy confidenciales y privados. Tener el contenido hackeado sería fatal. Estaré usando las siguientes tecnologías: REST (sobre H...
hecha 10.12.2015 - 13:39
2
respuestas

¿Los vectores de ataque en las variables de POSTing de una secuencia de comandos php a la siguiente?

Tengo una aplicación que está estructurada de la siguiente manera para su página de registro. Después de este registro, al usuario se le otorga acceso directo al sistema, no hay verificación de correo electrónico (según lo previsto). Me inter...
hecha 25.05.2011 - 15:46
1
respuesta

¿Por qué Bouncy Castle tiene una descarga separada para el algoritmo IDEA?

Estoy mirando la descarga del binario de C # para Bouncy Castle y veo dos descargas con el código fuente. Uno tiene el algoritmo IDEA, los otros probablemente no. enlace ¿Por qué hacer distribuciones separadas?     
hecha 20.01.2011 - 01:06
2
respuestas

¿Cuál es la ventaja de combinar diferentes archivos de registro web con diferentes formatos?

¿Cuál es el beneficio de combinar diferentes archivos de registro web con diferentes formatos en términos de seguridad de la aplicación web? En otras palabras, ¿de qué manera la combinación del archivo de registro iis con el archivo de registro...
hecha 01.04.2011 - 18:38
2
respuestas

¿Pueden los resultados de las herramientas DAST (Pruebas de seguridad de aplicación dinámica) ser falsos positivos?

Sé que los resultados de Static Application Security Testing (SAST) pueden ser falsos positivos o reales y depende del desarrollador y analista de seguridad decidir qué vulnerabilidad es real según el escenario y el contexto. ¿Lo mismo se apl...
hecha 10.05.2018 - 01:07
2
respuestas

Prevención XSS para servicios RESTful

Un servicio RESTful está actualmente protegido contra ataques XSS al aplicar la validación de entidades y esquemas XML. En ambos casos, esto se hace a través de una expresión regular como: <xs:pattern value="[0-9]{1}[0-9a-z/\ -]{0,7}" /...
hecha 09.09.2013 - 20:15