Preguntas con etiqueta 'penetration-test'

3
respuestas

¿Cómo saber cuándo se completa una prueba de pluma?

Considerando específicamente los sitios web de clientes en los que se nos ha pedido que ejecutemos una prueba de lápiz; ¿En qué momento nos detenemos y decimos que hemos terminado? Tenemos acceso a varias herramientas (algunas automatizadas,...
hecha 01.02.2017 - 19:08
3
respuestas

Hacer pruebas contra el servicio web propio alojado en una plataforma de terceros

Quiero hacer un pentest de los sitios web y los servicios programados por nuestra empresa, lo cual está bien siempre y cuando lo probemos en nuestra propia infraestructura. ¿Cuáles son las implicaciones (legales) al validar nuestros servicios un...
hecha 23.12.2016 - 13:07
6
respuestas

¿Cuál es la diferencia entre una prueba de penetración y una evaluación de vulnerabilidad?

¿Cuál es la diferencia entre una prueba de penetración y una evaluación de vulnerabilidad? ¿Por qué elegirías una sobre la otra? ¿Qué entregables esperaría recibir y cómo calificaría su calidad?     
hecha 01.04.2011 - 02:51
9
respuestas

¿Qué debe incluir un informe de auditoría de seguridad?

Background Estoy a cargo de auditar una aplicación web de mediana escala. He auditado aplicaciones web varias veces antes, pero siempre he escrito un breve PDF explicando rápidamente lo que encontré y, por lo general, soy el que va a corregir...
hecha 24.01.2013 - 17:02
2
respuestas

¿Por qué curl / wget en el cuadro de búsqueda de eBay me da un error de acceso denegado?

Acabo de copiar accidentalmente un comando wget en el cuadro de búsqueda de eBay y obtuve el siguiente error: Sucede con wget http://google.com o curl http://google.com , o cualquier otra URL ... Parece que desinfecta la...
hecha 15.02.2017 - 09:02
2
respuestas

¿Es la conversión indeseable de un número científico una vulnerabilidad?

En varias pruebas de penetración, noté que PHP está convirtiendo valores como 1e9 a 1000000000 , mientras que la longitud máxima de cadena aceptada de este número es 3 (en el almacenamiento de la base de datos y como propiedad ma...
hecha 20.06.2016 - 11:56
5
respuestas

¿Cómo encuentran los atacantes las direcciones IP de los servidores implementados recientemente?

Hace aproximadamente dos meses, implementé un servidor Ubuntu con el propósito principal de servir una aplicación web. Sin embargo, todavía estoy desarrollando la aplicación y solo le di la IP del servidor a mi compañero de trabajo y a algunos a...
hecha 01.12.2015 - 16:38
3
respuestas

Resultados de Pentest: Ataque CSRF cuestionable

Recientemente hemos tenido una de nuestras aplicaciones web saturadas. Todo salió bien, a excepción de una vulnerabilidad CSRF, y es este descubrimiento el que tengo un hueso para elegir. Algunos antecedentes: estamos usando ASP.NET MVC y, en...
hecha 23.11.2016 - 08:48
7
respuestas

¿Cuáles son algunas buenas soluciones de escaneo de seguridad de sitios web?

¿Cuáles son algunas buenas soluciones de escaneo de seguridad de sitios web basados en web? No me preocupa demasiado si se trata de soluciones basadas en web o software que se pueda ejecutar localmente. En general, estoy buscando algo que pod...
hecha 12.11.2010 - 02:13
1
respuesta

¿Mac OS X desde la perspectiva de los profesionales de la seguridad de TI? [cerrado]

¿Qué ofrece el Mac OS X que recientemente ha atraído a los usuarios con un enfoque de seguridad de TI? Hay sitios que se centran específicamente en "piratear" con OSX, como machacking.net . Defcon tiene una sección de enlace completa dedic...
hecha 27.03.2012 - 02:25