Preguntas con etiqueta 'appsec'

preguntas con etiqueta
0
respuestas

Scripts de ejemplo JSP que residen en el servidor

En una de las aplicaciones web que estoy verificando, la ejecución de un escaneo de nikto reveló la siguiente carpeta de 'ejemplos' en la raíz web con el siguiente contenido. Si bien definitivamente sugeriré eliminarlos, ¿tener estos scri...
hecha 13.07.2018 - 11:19
3
respuestas

verificación SSL del nombre de host del servidor https

Recientemente encontré que una biblioteca que estoy usando (específicamente Apache HTTPClient) cuando está configurada para verificar el nombre de host del servidor remoto con el CN del certificado, parece que está haciendo una comparación de ca...
hecha 17.08.2011 - 21:13
0
respuestas

Exponer API protegida sin credenciales de codificación en el Cliente (JS)

Intente exponer la API REST protegida sin exponer las credenciales en el Cliente (Código JS). Todas las soluciones que vienen a mi mente, pueden revertirse y el atacante puede reconstruirlos. ¿Hay soluciones probadas? ¿Mejores prácticas?...
hecha 20.08.2018 - 14:57
0
respuestas

¿Cómo evitarían los atacantes el enlace de token?

El enlace de token no es fácil de implementar en todas las organizaciones para admitir los tokens de portador. El problema con el token de portador es que simplemente tenerlo, incluso si fue robado, será suficiente para usarlo (la misma idea que...
hecha 22.08.2018 - 06:48
0
respuestas

¿Puedo realizar una prueba de seguridad de la aplicación web básica de una aplicación web desde un archivo pcap?

He estado intentando ejecutar el proxy de ataque zed contra una aplicación web usando algunas pruebas funcionales automatizadas. ZAP sigue fallando en algún momento debido a las excepciones de sslsocket (creo que debido a las solicitudes realiza...
hecha 20.04.2018 - 20:32
5
respuestas

¿Cómo puedo exportar mi clave privada desde un almacén de claves Java Keytool?

Me gustaría exportar mi clave privada desde un almacén de claves Java Keytool, por lo que puedo usarla con openssl. ¿Cómo puedo hacer eso?     
hecha 13.05.2011 - 13:11
0
respuestas

APKTool: Problema en la reconstrucción de la aplicación Android basada en Android Oreo

Durante la evaluación de seguridad de las aplicaciones de Android. Verifico si la aplicación es a prueba de manipulaciones. Para esto, descompilo la aplicación usando apktool y luego la manipulo modificando los recursos y / o el código SMALI y...
hecha 01.03.2018 - 07:05
0
respuestas

puedo usar openssl para generar un certificado ECC de 160 bits

Estoy haciendo algunas pruebas de las nuevas configuraciones de seguridad que están saliendo en el próximo conjunto de parches de Java. Una de las nuevas restricciones es no permitir que el ECC sea de menos de 224 bits. Quiero generar un certifi...
hecha 26.02.2018 - 04:00
8
respuestas

¿Debo molestarme en enseñar más los desbordamientos de búfer?

Los estudiantes se muestran escépticos de que apagar pilas no ejecutables, apagar canarios y apagar ASLR representa un entorno realista. Si PaX, DEP, W ^ X, etc., son eficaces para detener los ataques de desbordamiento de búfer, ¿sigue siendo va...
hecha 01.03.2011 - 04:42
0
respuestas

¿Cómo pueden las aplicaciones VPN de terceros canalizar todo el tráfico de todos los procesos en sistemas operativos de espacio aislado?

¿Cómo pueden las aplicaciones VPN (de terceros) canalizar toda la comunicación de todos los procesos en sistemas operativos de espacio aislado (como OSX, etc.)? ¿Pueden acceder al tráfico de otras aplicaciones y redirigirlas? ¿Por qué a menud...
hecha 18.12.2017 - 09:18