Preguntas con etiqueta 'attack-prevention'

2
respuestas

Cuando no es posible ir más allá de SSL3, ¿qué conjuntos de cifrado son inmunes a POODLE?

Entiendo que cualquier cosa que no use CBC funcionará, pero ¿existen modos similares? También me gustaría evitar cosas débiles como RC4 / 5 y MD5, por lo que es preferible usar sistemas de cifrado que utilicen funciones sensibles. En un servi...
hecha 29.05.2016 - 16:57
2
respuestas

Ataques de encabezado de host IIS

¿IIS y ASP son vulnerables a los mismos ataques de encabezado de host que hemos visto en Apache y Nginx? Específicamente los ataques que utilizan el encabezado de host HTTP para restablecer una contraseña o implementar el envenenamiento de caché...
hecha 31.03.2014 - 19:35
2
respuestas

OTP restringida por IP, como Autenticación de administrador web, segura o no

Creé un panel de administración web con la siguiente implementación de seguridad. Se encuentra en un subdirectorio de la web, lo que provocará un error 404 cuando se intente acceder (al igual que el enlace está roto o no existe). Esto (sol...
hecha 06.04.2016 - 22:39
1
respuesta

¿Cuáles son los riesgos y los efectos de la temida "memoria USB asesina"?

   Un investigador de seguridad ruso conocido como "Dark Purple" ha creado una memoria USB que contiene una carga útil inusual.       No instala malware ni explota una vulnerabilidad de día cero. En su lugar, la memoria USB personalizada envía...
hecha 05.08.2016 - 13:17
1
respuesta

PHP max_input_vars expectativas de seguridad

Considerando un sitio que maneja grandes datos de POST , ¿sería irrazonable y peligroso establecer el php.ini max_input_vars en algo así como 100000? Sé que este es un vector para los ataques de DOS, pero ¿no ayudan otras...
hecha 31.12.2014 - 17:50
3
respuestas

¿Hay alguna razón para crear un usuario de base de datos sin privilegios de esquema?

Una de las cosas que más se ve en la configuración de las personas son los usuarios de base de datos (para uso de una aplicación real) que solo tienen permisos SELECCIONAR / ACTUALIZAR / INSERTAR / BORRAR. Un usuario separado (que además tiene C...
hecha 18.02.2016 - 19:54
3
respuestas

¿Por qué es necesario validar los datos en un servlet obtenido llamando a HttpSession.getAttribute ()?

Soy nuevo en la programación de aplicaciones web y estoy tratando de entender las implicaciones de seguridad de no validar los datos obtenidos al llamar al método de la interfaz javax.servlet.http.HttpSession.getAttribute (). Sé que, como regla...
hecha 16.11.2012 - 00:53
1
respuesta

Apple Watch ¿No se puede hackear sin iPhone?

En respuesta a la prohibición del Reino Unido de Apple Watch en las reuniones de gabinete, este artículo implica que el Apple Watch es esencialmente inofensivo (no se puede descifrar) con el iPhone emparejado inaccesible. Esto parece ridículo,...
hecha 10.10.2016 - 21:13
2
respuestas

Previniendo al hombre en el ataque central (LAN)

Estoy trabajando en una aplicación de chat de área local que simplemente establecería la conexión entre dos sockets en la LAN y continuaría con la comunicación. Ahora, centrado en la seguridad, mi principal preocupación es evitar que mi aplicaci...
hecha 06.01.2016 - 20:33
1
respuesta

(archivos de registro httpd) ¿Qué tipo de ataque es? ¿Cómo puedo prevenirlo? [duplicar]

En mis archivos de registro veo cientos de estos registros. Tengo que decir que la ip del cliente cambia a veces. Así que hay 3 o 4 ips enviando estas solicitudes ... El othersite.something (que he pedido) es siempre el mismo. [Sat Apr 11...
hecha 12.04.2015 - 13:01