Domande con tag 'ethics'

1
risposta

Come divulgare responsabilmente una vulnerabilità in un algoritmo diffuso?

Per essere chiari, è puramente ipotetico. Ieri sono stato colpito alla testa con alcuni mattoncini e, nella confusione di commozioni cerebrali, ho scoperto un attacco preimage perfetto su SHA2. Per ogni dato hash, posso trovare immediatamente...
posta 24.03.2018 - 05:46
7
risposte

Come fornire sicurezza per le password memorizzate nel database? [duplicare]

Le password degli Utenti finali sono archiviate nel Database che è crittografato (usando hash unidirezionali come MD5). A parte me, ci sono "altre" persone appartenenti ad altri team che hanno accesso al Database che significa accesso allo sch...
posta 01.03.2013 - 06:56
2
risposte

Che cosa dovrei dire al mio cliente se vedo che il loro sito è suscettibile all'iniezione SQL?

Qualcuno mi ha chiesto di riprendere il controllo del loro (piuttosto vecchio) sito web. Ho guardato il codice e ho notato che ogni pagina ha chiamate a mysql_query , con stringhe sql concatenate con% non completamente salvate $_GET . È...
posta 25.06.2015 - 23:30
0
risposte

Cosa fare se per sbaglio faccio un sito? [chiuso]

Alcune settimane fa utilizzavo maliziosamente un sito Web con calcoli sul lato server quando la curiosità ha avuto la meglio su di me e ho deciso di fare confusione con alcuni valori di richiesta GET. Mi aspettavo che il sito mi fornisse calcoli...
posta 12.05.2015 - 00:39
5
risposte

L'exploit Oracle di Padding ASP.NET è stato esposto in modo etico? Cosa avrebbe potuto essere fatto in modo diverso?

Questa è una domanda in più parti .... Riguardo a ASP.NET Padding Oracle, ( link dimostrativo ) era che l'exploit di sicurezza trattato in modo etico maniera? Cosa avrebbe potuto essere fatto in modo diverso o migliore? Quali sono gli in...
posta 20.11.2010 - 17:10
2
risposte

Ho acceduto fortuitamente alla configurazione del router sconosciuto: come mai e ora?

Ho incontrato una cosa strana. Mi sono collegato a un Wi-Fi aperto, quindi stavo solo scherzando. Innanzitutto, ho visitato 192.168.0.1 ed era una pagina di configurazione del router, ma la password predefinita non funzionava. Poi sono p...
posta 18.04.2012 - 09:28
3
risposte

Domanda di etica, post-pubblicazione di "hack fai da te" che implica l'hack di sicurezza

Ho letto questo post alla fine, ma credo che questa domanda sia sottilmente diversa. Considera questo scenario: un'organizzazione municipale senza scopo di lucro ha un sito Web con autenticazione (nome utente, password). L'autenticazione pr...
posta 21.09.2013 - 21:26
2
risposte

Contattare i clienti di software vulnerabili, è sbagliato?

Supponiamo che tu sia un ricercatore di sicurezza che trova vulnerabilità e segnala ai fornitori di provare a ricevere una taglia del bug. Se il venditore non è disposto a pagare alcuna taglia per qualsiasi vulnerabilità, semplicemente non rivel...
posta 27.02.2017 - 22:21
1
risposta

Qual è un buon metodo per segnalare violazioni della sicurezza che vengono utilizzate per lo spam attivo?

Ho ricevuto una e-mail l'altro giorno che pretendeva di provenire da una banca di cui non avevo nemmeno sentito parlare, quindi ho deciso di curiosare. In alcune brevi indagini, sembra che qualcosa sia appena entrato nel sito di WordPress di pov...
posta 04.02.2012 - 04:53
3
risposte

Più password compaiono per accedere a un singolo account sul sito web principale

Ho un unico account per un sito molto popolare. Ho notato che alcune varianti della password del mio set mi collegheranno correttamente. Ho provato le variazioni su 3 browser separati e tutti hanno lo stesso comportamento. È un difetto di si...
posta 10.03.2018 - 20:20