Preguntas con etiqueta 'appsec'

3
respuestas

¿Cuál es la diferencia entre Exploit y Payload?

En seguridad informática, sabemos que los puntos débiles del software se denominan vulnerabilidades (si están relacionados con la seguridad). Y una vez que se encuentra la vulnerabilidad, en teoría se requiere una pieza de código como prueba d...
hecha 16.04.2013 - 10:25
7
respuestas

¿Contraseña olvidada o enlace de restablecimiento, que es más seguro enviar por correo electrónico?

Originalmente publiqué esto como respuesta aquí en este hilo pero no obtuve mucha información al respecto, y ahora tengo curiosidad por saber lo que otros piensan que es el mejor enfoque, o si hay alguna diferencia entre los dos enfoques. E...
hecha 23.03.2012 - 22:46
3
respuestas

Programador a Profesional de Seguridad

Soy un desarrollador de software (en su mayoría .NET y Python, aproximadamente 2-3 años de experiencia) que busca ingresar en el campo de Seguridad informática. Tengo un certificado GWAPT y tendré los certificados GSSP-NET y Network + a finales...
hecha 21.06.2011 - 01:36
2
respuestas

Rieles: protección contra inyección de código y XSS

Empecé a usar Ruby on Rails, y me preguntaba si habría algún problema de seguridad que vigilar con Rails, en particular con respecto a la inyección de códigos y XSS. Sé que Rails intenta prevenir tales ataques al desinfectar las entradas, per...
hecha 11.11.2010 - 22:31
5
respuestas

Protegiéndose contra ataques de cookies entre subdominios

He estado leyendo sobre ataques de cookies entre subdominios aquí . Una visión general rápida de cómo funciona (de Wikipedia): Un sitio web www.example.com reparte subdominios a terceros no confiables Una de esas partes, Mallory, que a...
hecha 06.04.2013 - 14:35
3
respuestas

¿Por qué el envío doble de tokens CSRF debe ser criptográficamente con números aleatorios fuertes?

Estaba revisando la hoja de trucos de OWASP para la prevención de CSRF. Con respecto al doble método de cookies , dice:    el sitio debe generar un valor pseudoaleatorio (criptográficamente fuerte) Este método se basa completamente en el...
hecha 18.12.2013 - 10:39
4
respuestas

¿Debo usar Suhosin para PHP?

Suhosin se puede usar para aumentar la seguridad de su aplicación PHP. Realmente puedo ver el uso de él cuando usas hosts compartidos, con varias personas (posiblemente malvadas) ejecutando sus aplicaciones PHP allí. Cuando solo tiene una a...
hecha 11.11.2010 - 22:59
7
respuestas

¿Cómo explotar la vulnerabilidad "PHP_MAGIC_QUOTES ON" para causar un daño máximo?

He encontrado una gran cantidad de exploits de inyección SQL en algunos sistemas que mantengo. Sé cómo prevenir la inyección, pero me gustaría demostrarle a mi CEO y CTO lo peligroso que es si no nos concentramos lo suficiente en mantener nuestr...
hecha 21.12.2010 - 14:10
6
respuestas

¿Impedir la divulgación de información desde el botón / historial de retroceso del navegador?

Tengo datos confidenciales que se alojarán en un sitio web, y me gustaría evitar que los datos se expongan en este escenario: El usuario principal cierra la sesión de la aplicación, pero no cierra el navegador (suponiendo un entorno de Kios...
hecha 26.10.2011 - 17:18
4
respuestas

¿Los SMS, MMS están almacenados en los servidores de los proveedores de servicios de red?

¿Los SMS y MMS enviados a través de un teléfono móvil se almacenan en los servidores de los proveedores de servicios de telecomunicaciones antes de pasarlos al destinatario? ¿Depende del país o cada proveedor de servicios de red tiene los rec...
hecha 09.05.2014 - 07:59