Preguntas con etiqueta 'black-box'

3
respuestas

Black-box fuzzing un puerto TCP ejecutando una aplicación desconocida

Estoy buscando información sobre cómo probar un servicio que he encontrado funcionando en un servidor de destino. Estoy haciendo una prueba de lápiz de "caja negra" y la compañía es uno de esos tipos de "no quiero decirte nada" para que no nos d...
hecha 06.11.2013 - 07:06
4
respuestas

¿Es este un método de hashing / ofuscación auto-lanzado? ¿Puedes reconocer el patrón?

Un sistema que estamos introduciendo en la organización no está utilizando ninguna función de hash tradicional que pueda encontrar. Me han asignado "aprobarlo" mediante pruebas de caja negra. Sospecho que las contraseñas simplemente están sie...
hecha 24.02.2016 - 20:37
2
respuestas

Viendo la pila

Recientemente comencé a aprender sobre los desbordamientos de búfer y cómo funcionan. Alguien compartió un binario para practicar (en una máquina virtual, no te preocupes). He estado introduciendo cadenas en el zócalo que abre el binario, y noté...
hecha 04.10.2016 - 02:08
1
respuesta

Adivinando la versión de PHP e información de phpinfo usando el análisis de caja negra

Intro Actualmente estoy experimentando con el análisis de caja negra de PHP y no pude encontrar ninguna información útil. Hay algunos enfoques de cómo determinar, por ejemplo. Versión de Apache, pero para PHP parece que Internet conoce solo lo...
hecha 10.05.2017 - 21:32
2
respuestas

Fuzzing y su impacto en el entorno de prueba

Hice esta pregunta en StackOverflow pero no obtuve respuestas, así que pensé que probaría suerte aquí ya que fuzzing está estrechamente relacionado con la seguridad y se usa a menudo en pruebas de evaluación de vulnerabilidad. Actualmente esto...
hecha 02.01.2015 - 22:59
4
respuestas

Efectividad de las pruebas de seguridad de aplicaciones interactivas

Hay una serie de herramientas IAST disponibles en el mercado, como Acunetix Web Vulnerability Scanner y HP WebInspect Real-Time . ¿Qué tan efectivos son estos para encontrar vulnerabilidades? ¿Existe alguna evidencia de que puedan encontrar...
hecha 04.04.2014 - 15:23
3
respuestas

¿Cómo puede NSA ver todo sin que nos demos cuenta? [cerrado]

Aquí hay una cosa que me sigue molestando desde que me enteré de las revelaciones de la NSA. Por lo que escuché, NSA construyó un sistema que básicamente ve la mayor parte de Internet, hecho de muchos subsistemas que afectan a las redes. A juzga...
hecha 07.04.2014 - 14:10
2
respuestas

Desbordamiento de búfer - Imprimir "hola mundo"

Me pregunto cuál sería el código shell para imprimir simplemente "hola mundo" en la consola. Al probar las vulnerabilidades, creo que sería muy útil tener un código de shell para probar si el exploit funciona. Además, una explicación simple s...
hecha 18.10.2016 - 06:00
1
respuesta

XSS reflejado a través de JSON ejecutado con Burp, pero ¿cómo hacerlo en condiciones realistas?

Estoy probando un escenario con proxy Burp. Estoy ubicado en un sitio web https://website.com/web Hay una opción allí para eliminar un elemento, al hacer clic en él, se envía una determinada solicitud POST ( XMLHttpRequest...
hecha 01.02.2017 - 00:39
2
respuestas

Pentesting - ¿mejor por tu dinero? (con credenciales versus sin credenciales)

Mis actividades diarias consisten principalmente en pruebas de penetración (blanco / gris / negro). A lo largo de mis compromisos, trato de educar a mis clientes sobre las diferencias de tipos de prueba. Por ejemplo, una prueba con credenciales...
hecha 18.05.2016 - 01:31