Информационная безопасность
Автоматизация записи микрофона Meterpreter
00
Вопрос или проблема Я экспериментирую с функцией record_mic на своем ноутбуке и заметил, что независимо от того, что я делаю, я не могу захватить поток длительностью более 12 секунд, иначе получаю ошибки таймаута. Я думал, что это ограничение команды
Информационная безопасность
Каковы лучшие практики для инструментов CI/CD, выполняющих привилегированные действия на удаленном сервере?
00
Вопрос или проблема При использовании инструментов CI/CD (таких как Jenkins или Octopus Deploy) как компании следуют лучшим практикам безопасности, когда необходимо выполнять привилегированные действия на удаленном сервере в рамках процесса сборки/развертывания?
Информационная безопасность
Включает ли звездочка / wildcard CORS как зашифрованные, так и незашифрованные источники?
00
Вопрос или проблема Включает ли звездочка / подстановочный символ (*) CORS как зашифрованные (https), так и нешифрованные источники (http)? И считается ли нулевой источник (например, когда локальный файл выполняет xmlhttprequest, или внутри iframe с атрибутом sandbox) http?
Информационная безопасность
Аутентификация идентификационного токена OIDC с использованием JWKS вместо introspection токена
00
Вопрос или проблема Это может быть всего лишь академический вопрос, но я задавался одним вопросом, хорошо, для этой цели нас интересует только AuthN, а не AuthZ. Также пользователей нет вообще, только коммуникации между демонами.
Информационная безопасность
Как включить декодирование base64 глобально в modsecurity?
00
Вопрос или проблема Я тестирую modsecurity с атаками XSS, используя последние правила OWASP CRS, включив только правила XSS. Я обнаружил, что декодирование base64 не выполняется, и это одна из причин обхода защиты. Однако если мне нужно добавить преобразование
Информационная безопасность
Где основан .NET __RequestVerificationToken?
00
Вопрос или проблема Я провожу исследование безопасности приложения и спрашиваю себя, на чем оно основано. Кажется, что оно меняется с каждым запросом (то есть не привязано к пользовательской сессии). Это просто случайное значение, которое должно существовать
Информационная безопасность
Безопасность первоначального перенаправления с http://example.com на https://example.com
12
Вопрос или проблема Предположим, что http://example.com/<foo> систематически перенаправляет на https://example.com/<foo>. Я ввожу http://example.com в адресной строке браузера, и я вижу загрузку страницы, после чего адресная строка теперь
Информационная безопасность
Есть ли какая-то польза в использовании разных солей для разных алгоритмов шифрования для одного и того же пользователя?
00
Вопрос или проблема У одного пользователя два разных пароля. Я хеширую оба для будущей валидации. В настоящее время я использую одну уникальную соль для пользователя, но каждый хешируется с разными алгоритмами (PBKDF2 с разными алгоритмами и различным количеством итераций).
Информационная безопасность
Что такое трансшифрование?
00
Вопрос или проблема Во время обсуждения подлинности/целостности архивов в долгосрочной перспективе и проблемы потенциальной повторной замены ключа в случае компрометации, кто-то предложил термин “трансшифрование” (или “
Информационная безопасность
Как сайт знает, какой DNS-сервер использует клиент?
00
Вопрос или проблема Существуют веб-сайты, которые утверждают, что проводят “тесты на утечку DNS”. Меня не так сильно волнуют утечки DNS, но мне интересно, как сайт знает, какой DNS-сервер я использую? Я предположил, что это будет заголовок
Информационная безопасность
Насколько опасно делиться WiFi-сетевым подключением с соседями?
00
Вопрос или проблема Контекст. Я переезжаю в здание, где соседи делят WiFi. Несколько маршрутизаторов подключены друг к другу, и жители подключаются к одной из WiFi сетей. Мне сказали, что так дешевле и скорость хорошая. Беспокойства.
Информационная безопасность
SSH ключ: Ed25519 против RSA
01
Вопрос или проблема Многие люди рекомендуют использовать Ed25519 вместо RSA ключей для SSH. На странице введения в Ed25519 (http://ed25519.cr.yp.to/) говорится: [..] сломать это имеет схожую сложность с тем, чтобы сломать [..] RSA с ключами ~3000 бит [.
Информационная безопасность
PKI – Гибридная – корневой ЦС в дата-центре
00
Вопрос или проблема PKI – Можем ли мы поддерживать корневой УЦ и НСМ в нашем дата-центре и иметь выданный УЦ в облаке для выдачи сертификатов, интегрированного с облачным НСМ? Формальный ответ: “Проверьте вашу Политику сертификатов (CP)”
Информационная безопасность
Почему ни один из глобальных центров сертификации Global Sign не проверяет этот сертификат, подписанный Global Sign?
00
Вопрос или проблема Моя программа на Java не может загрузить https://repo1.maven.org/maven2/org/apache/iceberg/iceberg-spark-extensions-3.5_2.12/1.5.2/iceberg-spark-extensions-3.5_2.12-1.5.2.pom Поэтому я выполнил несколько команд, чтобы выяснить, в чем дело.
Информационная безопасность
Как оба аккаунта Instagram были идентифицированы как мои? [закрыто]
00
Вопрос или проблема Заблокировано. Этот вопрос является непо теме. В настоящее время ответы не принимаются. Этот вопрос, похоже, не о информационной безопасности в рамках, определенной в центре справки. Закрыто 26 минут назад.
Информационная безопасность
Блокировка в Instagram
00
Вопрос или проблема У меня есть два аккаунта в Instagram с двумя разными адресами электронной почты, телефонами, датами рождения и устройствами. Но если кто-то заблокирует один из моих аккаунтов, другой тоже будет заблокирован. Почему это происходит?
Информационная безопасность
JWT: Почему важна аудитория?
00
Вопрос или проблема JWT обычно включает в себя заявление о целевой аудитории. Я читал во многих местах (в статьях, примерах кода, самом стандарте), что вы должны проверять, что токен предназначен именно для вас, а не для другой аудитории.
Информационная безопасность
Существует ли эта уязвимость, связанная с регистрами общего назначения?
00
Вопрос или проблема Кто-нибудь знает о каком-либо виде уязвимости, которая затрагивает регистры ЦП и позволяет злоумышленнику перезаписывать регистры конкретными значениями, которые остаются фиксированными, например, на несколько инструкций и изменяются
Информационная безопасность
Насколько безопасно, если два email-адреса являются резервными аккаунтами друг для друга?
00
Вопрос или проблема В общем, насколько безопасно иметь два почтовых аккаунта в качестве восстановительных email друг для друга? Восстановительные аккаунты предназначены для сброса пароля другого email, уведомления о проблемах с безопасностью и т.
Информационная безопасность

Важно ли порядок SecAction для конфигурационного файла OWASP ModSecurity?

00
Вопрос или проблема Используя веб-сервер с Nginx + ModSecurity + OWASP ModSecurity Core Rules… В конфигурационном файле OWASP crs-setup.conf важен ли порядок секции конфигурации SecAction или я могу упорядочить их иначе, чем в примере конфигурационного файла?