Preguntas con etiqueta 'penetration-test'

preguntas con etiqueta
2
respuestas

¿Debería una prueba de vulnerabilidad automatizada realmente eliminar o modificar los datos en producción?

Contratamos a una empresa externa para realizar una prueba de vulnerabilidad en uno de nuestros sitios. En pocas horas, tuvimos problemas. Mesas enteras borradas y limpias. Tablas enteras eliminadas. Cientos de registros en otras tablas han desa...
hecha 04.11.2016 - 14:00
1
respuesta

¿Qué es una base de descarga IEX?

¿Alguien sabe lo que es una base de descarga IEX? ¿Es algo que pertenece solo al ámbito de seguridad cibernética / pentesting? Lo pregunto según este post: enlace Mi opinión es que IEX significa Internet Explorer y que pueden estar us...
hecha 06.01.2016 - 22:02
3
respuestas

Metodología Bug Bounty para un novato [cerrado]

Pregunta : una vez que me uno a un programa de recompensas de errores y empiezo a buscar errores en un sitio web, ¿cómo empiezo a buscar errores de manera eficiente? Estoy muy familiarizado con las vulnerabilidades comunes (XSS, inyección de...
hecha 16.04.2016 - 04:53
2
respuestas

¿El shell inverso bloquea el servidor web?

Por lo tanto, actualmente estoy jugando con DVWA y, al explotar la inclusión de archivos locales, vulnero el binario nc.exe en el servidor de destino y ejecuto un shell inverso en mi máquina. Sin embargo, me doy cuenta de que una vez que se obti...
hecha 07.06.2016 - 14:42
1
respuesta

Pruebas de seguridad de la aplicación vs penetración de red [cerrado]

Soy un desarrollador web con aproximadamente 7 años de experiencia, pero durante los últimos 12 meses he estado involucrado en seguridad cibernética, así que comencé a implementar prácticas de código seguro y buenas prácticas de OWASP en el trab...
hecha 18.03.2017 - 04:04
2
respuestas

¿Puedo engañar a un servidor de correo para que me envíe un correo electrónico?

¿Puedo engañar a un servidor de correo para que me envíe un correo electrónico? Me gustaría hacer un análisis de encabezado de correo electrónico en los correos electrónicos que envía un servidor de correo en una prueba de penetración y, posible...
hecha 06.07.2016 - 16:14
1
respuesta

Java org.xmlpull.v1.XmlPullParser y entidad externa XML (XXE) que procesan ataques

Estoy evaluando la seguridad de una aplicación de Android y la aplicación está utilizando XmlPullParser incluido con Android. Tengo algunas dificultades para que cualquier ataques comunes funcione, pero quiero Asegúrate de no haberte perd...
hecha 11.10.2014 - 23:13
2
respuestas

¿Es un defecto de seguridad mostrar la api_key segura en el archivo travis.yml del código fuente de una aplicación web en Github?

He estado trabajando en una revisión de código de un proyecto. El código fuente está disponible públicamente en Github. Encontré un archivo "travis.yml". En ese archivo, puedo ver la api_key segura como se muestra en la captura de pantalla....
hecha 26.07.2018 - 13:12
1
respuesta

¿Es una buena idea probar el sitio web de una empresa en vivo como parte de un proceso de entrevista?

Obtuve una tarea de entrevista, que consiste en aplanar la sección de carreras del sitio web de una empresa. Tengo ganas de jugar con cualquier sitio web, y me dieron permiso, pero esto se siente como un pentest gratis. Me imagino que otros cand...
hecha 22.06.2018 - 17:05
3
respuestas

¿Qué idiomas son mejores para los ataques contra sitios web?

¿Qué idiomas son mejores para escribir herramientas para atacar sitios web, a través de, por ejemplo, un DDOS? Nivel alto, nivel bajo, ¿e incluso hace una diferencia?     
hecha 21.11.2010 - 01:36