Preguntas con etiqueta 'http'

preguntas con etiqueta
1
respuesta

¿Debo mantener el token NTLM en el encabezado de Autorización HTTP en secreto?

Estoy solucionando un problema con uno de nuestros proveedores y planeo enviarles un seguimiento Fiddler del tráfico http entre el cliente y nuestros servidores mientras se replica el problema. Nuestros servidores utilizan la autenticación NT...
hecha 27.11.2012 - 15:10
3
respuestas

Revele la IP verdadera de un usuario

¿Existe alguna forma de método de práctica recomendada (y preferiblemente documentada) de revelar la IP real de un usuario mediante una conexión HTTP (S)? Es decir: para poder descubrir la verdadera IP de los proxy transparentes y anónimos si...
hecha 27.03.2012 - 07:10
3
respuestas

¿Qué impide que un pirata informático instale su propio certificado de CA?

Echa un vistazo a este (ahora bastante antiguo) artículo sobre el generados certificados falsos de DigiNotar, indica lo siguiente:    ... Tal es el caso de esa pequeña empresa en los Países Bajos,   DigiNotar. Los informes de varios sitios...
hecha 27.10.2013 - 17:42
2
respuestas

Verificación de seguridad de seguridad

Una empresa cuyos servicios estoy intentando integrar usa este protocolo: Una clave AES está incrustada en una biblioteca de Android. Para autenticarse, la biblioteca envía un hash SHA1 de la clave a través de HTTP simple. La respuesta c...
hecha 22.07.2014 - 02:11
1
respuesta

¿Cuál es la implicación de HSTS en los navegadores no compatibles?

HSTS está disponible actualmente solo en Edge e IE11. ¿Cuál será su implicación en las versiones más bajas del navegador (IE9 & IE10)? ¿Cómo se comportará el HSTS? ¿Habrá algún impacto en el sitio?     
hecha 02.11.2017 - 03:28
1
respuesta

¿Por qué los navegadores advierten sobre certificados autofirmados pero no sobre HTTP simple (que ni siquiera está encriptado)? [duplicar]

Seamos breves: En HTTP todos pueden escuchar fácilmente. Los ataques MITM no son un problema. En HTTPS (autofirmado) todo está al menos encriptado, es mucho más difícil de atacar con MITM y solo los propietarios de claves privadas pueden...
hecha 04.12.2015 - 17:04
1
respuesta

Escenario de explotación de ataque de la SSRF

En este video (0:37) el usuario inicia un servidor HTTP simple usando Python y luego usa un enlace para obtener un archivo del servidor que acaba de empezar. Pero, ¿cómo plantea esto una vulnerabilidad de seguridad potencial? Un archivo se...
hecha 28.03.2017 - 15:31
1
respuesta

Acceso al servidor HSTS con un navegador no compatible

Supongamos que he configurado correctamente mi servidor para aplicar la política HSTS y funciona correctamente para los navegadores IE 11. ¿Qué sucede cuando una persona que usa un navegador no compatible (por ejemplo, IE 9) intenta acceder al s...
hecha 19.09.2016 - 17:29
3
respuestas

ataque de fijación de sesión

Dadas las siguientes condiciones, La ID de sesión no cambia al iniciar sesión La ID de sesión viaja en forma de cookie HTTP No hay ninguna vulnerabilidad de redireccionamiento / scripts entre sitios en la página de inicio de sesión ¿T...
hecha 08.05.2012 - 04:13
4
respuestas

¿Por qué este ataque de división de respuestas no funciona?

Estoy trabajando a través de la aplicación web vulnerable "WebGoat" (versión 5.4) de OWASP, pero me estoy atascando en una de las primeras lecciones que tiene que ver con la división de respuestas HTTP. He visto todos los consejos y la soluci...
hecha 28.07.2013 - 20:33