Preguntas con etiqueta 'penetration-test'

preguntas con etiqueta
1
respuesta

¿Cómo escanear el código PHP en busca de funciones vulnerables? [cerrado]

Vi un informe de Pentest y había una sección en la que el pentester enumera todas las funciones que son vulnerables en PHP. ¿Cómo escanea el código y qué herramientas se pueden usar, y es posible hacerlo sin tener acceso a los archivos? Por e...
hecha 04.12.2017 - 09:38
2
respuestas

¿Qué pruebas se pueden realizar en las aplicaciones móviles para determinar si son seguras?

Mi compañía está buscando trabajar con un proveedor backend de un cliente potencial para poder crear una aplicación para ellos. Para hacer esto, necesitamos usar su API. Hemos hablado con esta empresa y están preocupados por la seguridad, por lo...
hecha 16.09.2018 - 21:58
2
respuestas

¿Cómo pueden los informes de Pentest contribuir a las soluciones estructurales para las vulnerabilidades?

Cuando hace un pentest, ¿cuál es su recomendación al cliente sobre cómo manejar / interpretar el informe? Lo que veo con frecuencia es que los problemas identificados, especialmente los relacionados con el software de desarrollo propio, no se...
hecha 13.11.2018 - 16:45
2
respuestas

¿Pruebas de aplicaciones web o servicios web?

Estoy tratando de aclarar una duda sobre las pruebas de seguridad. Si la aplicación web (GUI, interfaces de usuario funcionales, roles de usuario, etc.) utiliza los servicios web de Rest para realizar acciones, creo que tanto la aplicación we...
hecha 13.11.2018 - 13:02
1
respuesta

Fuzzing un servidor web usando DirBuster

Así que he estado intentando usar dirbuster para eliminar algunas máquinas vulnerables. No he estado satisfecho con los resultados, así que comencé a probar algunos fuzzing manuales y luego hice referencia a la lista de palabras de dirbuster pre...
hecha 10.04.2018 - 09:17
2
respuestas

¿Cuáles son las vulnerabilidades más comunes para dispositivos de IoT mal diseñados? [cerrado]

Estoy aprendiendo a proteger dispositivos IoT y estoy empezando a aprender cómo desarrollar mi propio software para ellos. Quería saber cuáles son las vulnerabilidades más comunes que cualquier scriptkiddie podría explotar y cómo conocerlas e...
hecha 20.04.2018 - 10:31
1
respuesta

¿Cuándo necesita una empresa contratar a un especialista en seguridad dedicado? [cerrado]

Actualmente, no tenemos un especialista / probador de seguridad o penetración dedicado específico en el equipo. Hemos sido escaneados y auditados por diferentes compañías especializadas en seguridad de Internet y hemos estado abordando los pr...
hecha 21.12.2017 - 03:57
2
respuestas

/ cron ruta encontrada al probar el sitio

Estoy probando un sitio y usando la herramienta dirb incorporada en kali y se recuperó /cron con una respuesta de 200. Fui a esa página y está en blanco. ¿Alguien puede decirme por qué fue recogido y no hay nada que ver?     
hecha 07.09.2018 - 16:14
1
respuesta

Nikto: los resultados difieren para IP y nombre de host

Ejecuté un Nikto en una máquina por nombre de host nikto -host https://machine.host.com identificó una vulnerabilidad de relleno:    OSVDB-68127: el servidor es vulnerable a enlace permitiendo un oráculo de relleno criptográfico....
hecha 23.01.2017 - 10:01
1
respuesta

Pentest de la red externa y pentest de la aplicación. ¿Lo mismo?

Estoy intentando crear un proceso de prueba para probar la red y las aplicaciones de una empresa. Estoy usando para esto la Guía de prueba de OWASP 4.0, porque no tengo experiencia en pentesting y no sé nada mejor. La mayoría de los pasos des...
hecha 27.07.2017 - 13:38