Preguntas con etiqueta 'enumeration'

4
respuestas

¿Enumeración de nombre de usuario?

Por lo que entiendo, es una mala práctica de seguridad mostrar mensajes informativos de inicio de sesión fallidos, como:    El correo electrónico que ingresaste no existe En lugar de    Combinación incorrecta de correo electrónico / co...
hecha 24.09.2013 - 17:16
2
respuestas

Vulnerabilidad de enumeración de usuarios al crear una cuenta de Google

Cuando creamos una cuenta de Google, Google nos dice si existe o no una cuenta con un nombre de usuario específico. ¿Eso no lleva a la enumeración de usuarios? ¿Por qué no permitir que los usuarios completen otra información primero, p...
hecha 06.08.2014 - 17:43
2
respuestas

¿Cómo los kits de explotación enumeran o identifican sus objetivos?

Mi entendimiento actual es que un kit de exploits hará una huella digital (recopilará información sobre) un sistema, verificará esos detalles en una base de datos de vulnerabilidades y luego intentará usar los exploits relevantes. Puedo ver f...
hecha 10.11.2017 - 14:33
1
respuesta

Respuestas extrañas de un servidor HTTP desconocido

Noté un dispositivo desconocido al escanear mi red inalámbrica local. Tenía dos puertos TCP abiertos (¿escuchando?); TCP/80 ( http ?) & TCP/443 ( https ?). En un esfuerzo por identificar el dispositivo desconoc...
hecha 07.05.2016 - 10:19
6
respuestas

¿Debo usar un generador criptográfico seguro de números aleatorios cuando genero IDs?

Es común generar identificadores aleatorios para exponer a través de una API en lugar de usar una clave principal de incremento automático simple. Las razones son muchas: Evita la enumeración fácil. No regala objetos de orden fueron creado...
hecha 13.04.2016 - 14:45
3
respuestas

¿Qué tan importante es CAPTCHA en las páginas de registro?

Estoy trabajando en un sitio y me gustaría agregar CAPTCHA a la página de registro de usuarios para evitar la enumeración de nombres de usuarios. Estoy trabajando con un desarrollador de front-end que cree que no debemos agregar CAPTCHA a la...
hecha 12.09.2013 - 17:53
1
respuesta

Descubrir un servicio vulnerable en una máquina

Estoy intentando obtener acceso a una de las máquinas en mi laboratorio. tengo 2 puertos TCP que sospecho que son: puerto 25 tcp puerto 111 tcp Para el puerto 25, se supone que está ejecutando SMTP, sin embargo, creo que está ejecutando...
hecha 07.11.2013 - 20:44
1
respuesta

¿Cómo puedo hacer un mal uso de la información de la enumeración del servicio DCE?

Nessus informa casi en cualquier máquina de Windows "enumaración de servicio DCE". Con el módulo metasploit tcp_dcerpc_auditor obtengo la siguiente información: 192.168.1.23 - UUID 99fcfec4-5260-101b-bbcb-00aa0021347a 0.0 OPEN VIA 135 A...
hecha 09.07.2013 - 14:50
3
respuestas

Técnicas para la toma de huellas dactilares de un sistema de gestión de contenido basado en web (CMS)

Digamos que tenemos un blog básico aleatorio o un sitio web informativo: solo algunas páginas con información, una barra lateral con una descripción general de los archivos, lo normal. Sabemos de este sitio web que está construido con un CMS. ¿C...
hecha 24.03.2013 - 19:27
1
respuesta

¿Son seguros estos valores de URL encriptados o podrían adivinarse?

Uno de nuestros proveedores tenía una debilidad en la sección segura de su página web. Al cambiar los ID en la URL, podríamos ver datos que no nos pertenecían. Por ejemplo: enlace Mostró un contrato y un automóvil, pero también lo hi...
hecha 20.06.2016 - 15:17