Questions marquées «security»

La sécurité n'est pas un produit, mais un processus.

4
Une machine virtuelle (VM) peut-elle pirater une autre machine virtuelle exécutée sur la même machine physique?
Des questions: si une machine virtuelle est corrompue (piratée), qu'est-ce que je risque sur d'autres machines virtuelles exécutées sur la même machine physique? Quel genre de problèmes de sécurité existe-t-il entre les machines virtuelles exécutées sur le même hôte physique? Existe-t-il (pouvez-vous dresser) une liste de ces faiblesses et / …
2
Pourquoi chroot est considéré comme peu sûr?
Je joue avec CentOS Box depuis quelques années maintenant. Je suis donc assez à l'aise avec le terminal. Cependant, j'ai lu beaucoup de billets de blog affirmant que chroot n'est pas sûr et que la quantité de ces messages fait peur. En est-il vraiment ainsi? Pourquoi? J'utilise chroot pour verrouiller …
3
Quelles sont les autorisations Unix parfaites pour les répertoires de projets Web habituels?
Quelles sont les autorisations minimales parfaites au format octal pour les éléments suivants dans une application Web écrite? Un répertoire où les fichiers statiques téléchargés par l'utilisateur (fichiers images / swf / js) résideront Un répertoire où les fichiers statiques téléchargés par l'administrateur (fichiers images / swf / js) résideront …
3
Existe-t-il un danger pour virtualiser un routeur?
J'avais lu sur quelques forums sur pfSense qui disaient qu'il était dangereux de virtualiser pfSense. La raison invoquée était qu'un attaquant pouvait utiliser pfsense comme tremplin pour attaquer l'hyperviseur, puis l'utiliser pour accéder aux autres machines virtuelles et éventuellement mettre tout hors ligne. Cela me semble fou, mais y a-t-il …
2
Comment isoler la conformité PCI
Nous traitons actuellement, mais ne stockons pas, les données de carte de crédit. Nous autorisons les cartes via une application auto-développée utilisant l'API authorize.net. Si possible, nous aimerions limiter toutes les exigences de PCI qui affectent nos serveurs (comme l'installation d'Antivirus) à un environnement séparé et isolé. Est-ce possible de …
12 security  pci-dss 
3
Renvoyer «200 OK» dans Apache sur les requêtes HTTP OPTIONS
J'essaie d'implémenter un contrôle d'accès HTTP interdomaine sans toucher à aucun code. J'ai mon serveur Apache (2) renvoyant les en-têtes de contrôle d'accès corrects avec ce bloc: Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" Je dois maintenant empêcher Apache d'exécuter mon code lorsque le navigateur envoie une …
8
est-ce une tentative de piratage?
En parcourant mes journaux 404, j'ai remarqué les deux URL suivantes, toutes deux apparues une fois: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ et /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 La page en question library.php,, nécessite une typevariable avec une demi-douzaine de valeurs acceptables différentes, puis une idvariable. Une URL valide peut donc être library.php?type=Circle-K&id=Strange-Things-Are-Afoot et les identifiants sont tous exécutés …
12 security  mysql  php  hacking 
3
Contrôle d'accès: Windows vs Linux
Je lis les conférences MIT 6.893 sur lesquelles il dit que la protection sous Unix est un gâchis, pas de principe sous-jacent , et il souligne également que Windows a de meilleures alternatives, qui peuvent transmettre des privilèges d'un processus à un autre via IPC . À mon avis, bien …
6
Comment choisir un service cloud pour les sauvegardes
Je songe à utiliser un service cloud pour sauvegarder l'un des sites Web de mon client. Mes (clients) principales préoccupations sont (par ordre décroissant d'importance) Protection de la propriété intellectuelle (secrets commerciaux, code source), détails du compte utilisateur, etc. Garantie de disponibilité offerte par le fournisseur de services (pour minimiser …
3
Les adresses IP privées Amazon EC2 sont-elles accessibles à partir d'une instance exécutée dans EC2?
Après avoir recherché les questions précédentes ici, le consensus général semble être si une instance que je possède se voit attribuer une IP privée de 10.208.34.55, que seules D'AUTRES INSTANCES QUE JE POSSÈDE peut y accéder à cette adresse. Voir: Comment chiffrer le trafic entre deux instances Amazon EC2? Est-ce …
5
Révision des règles de pare-feu
Je dois revoir les règles de pare-feu d'un pare-feu CheckPoint pour un client (avec plus de 200 règles). J'ai utilisé FWDoc dans le passé pour extraire les règles et les convertir dans d'autres formats, mais il y a eu des erreurs avec les exclusions. Je les analyse ensuite manuellement pour …
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.