Documentación completa sobre programación en 64 bits
- July 9, 2011
- cybercaronte
En este enlace de Intel, se ha recopilado información sobre el desarrollo de software en C/C++ 64 bits. Puedes encontrar un curso completo, artículos, documentación, FAQ, etc.
También puedes ver las lecciones del curso en un solo fichero para imprimir aquí.
Visto en Reddit.
Los 25 errores más peligrosos del software según CWE/SANS 2011
- July 9, 2011
- tuxotron
Como el título indica, esta es la lista que este año han creado CWE/SANS sobre los errores más peligrosos que cometemos los programadores en este año 2011.
| Pos | Punt | ID | Descripción |
|---|---|---|---|
| [1] | 93.8 | CWE-89 | No filtrar propiamente las sentencias SQL (Inyección SQL) |
| [2] | 83.3 | CWE-78 | No filtrar las llamadas al sistema de forma adecuada (Inyección en comandos del SO) |
| [3] | 79.0 | CWE-120 | No chequear el tamaño de la memoria reservada a la hora de copiar datos (desbordamiento de memoria) |
| [4] | 77.7 | CWE-79 | No detectar la inyección de scripting (XSS) |
| [5] | 76.9 | CWE-306 | No autentificar en llamada a funciones críticas |
| [6] | 76.8 | CWE-862 | No autorización |
| [7] | 75.0 | CWE-798 | Usar credenciales estáticos en el código |
| [8] | 75.0 | CWE-311 | No cifrado de datos sensibles |
| [9] | 74.0 | CWE-434 | No restringir la subida de ficheros a ciertos formatos |
| [10] | 73.8 | CWE-807 | Confiar en una fuente de datos no confiable a la hora de tomar una decisión de seguridad |
| [11] | 73.1 | CWE-250 | Ejecución con privilegios innecesarios |
| [12] | 70.1 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| [13] | 69.3 | CWE-22 | No limitar el acceso al sistema de ficheros a directorios restringidos |
| [14] | 68.5 | CWE-494 | Descarga de código sin chequear la integridad del mismo |
| [15] | 67.8 | CWE-863 | Autorización incorrecta |
| [16] | 66.0 | CWE-829 | Permitir la integración de funcionalidades de fuentes no confiables |
| [17] | 65.5 | CWE-732 | Asignación de permisos incorrecta a recursos críticos |
| [18] | 64.6 | CWE-676 | Uso de funciones potencialmente peligrosas |
| [19] | 64.1 | CWE-327 | User un algoritmo de cifrado que ha sido comprometido o roto |
| [20] | 62.4 | CWE-131 | Cálculo incorrecto del tamaño de memoria |
| [21] | 61.5 | CWE-307 | No restricción a un número de intentos fallidos de acceso |
| [22] | 61.1 | CWE-601 | Redirección URL a sitios no confiables ('Open Redirect') |
| [23] | 61.0 | CWE-134 | Formato de cadena no controlado |
| [24] | 60.3 | CWE-190 | Desbordamiento de enterios |
| [25] | 59.9 | CWE-759 | Aplicar una función hash sin usar la sal |
Aquí tienes toda la información en PDF
¿Quién negocia con tu email?
- July 8, 2011
- tuxotron
Bueno esto es un viejo truco que me vino a la cabeza esta mañana mientras escuchaba un podcast.
De todos es sabido, que en cuanto más sitios te das de alta, donde tu email es un dato necesario, más spam recibimos. El spammer no es alguien que se ponga a recopilar información a mano, sino que o bien compra bases de datos con cuentas de correo electrónico, o las roba toma prestadas o tienen alguna araña haciendo web scrapping.
Como dije esto que voy a intentar explicar es un viejo truco, para saber quién ha vendido nuestra información (email) o por lo menos no la ha protegido como debiera.
Gmail te permite añadir detrás de tu nombre el signo + y algún texto y todavía recibir un email enviado a tal dirección. Por ejemplo, digamos que tu cuenta de gmail es: [email protected], si tu mandas un email a [email protected], ese email se enviará a [email protected]. Sin embargo cuando abras el email y mires la dirección destino verás [email protected].
La idea aquí es que cuando nos registremos a alguna web añadamos algo que identifique dicha web. Digamos que nos vamos a dar de alta en el foro XXX (no seas mal pensado). Cuando metamos nuestro email, pondremos: [email protected]. Con lo cual los correos del foro nos llegará sin problemas. Ahora, si recibimos un correo spam con la dirección destino [email protected], ya sabemos de donde han sacado nuestro email.
Como dije antes, no tienen porque haber vendido tus datos, tal y como está hoy en día el panorama, no es descabellado que alguien haya robado dichos datos.
Nota: no sé si otros servicios de correo te permiten hacer lo mismo o algo parecido, con gmail funciona.
Libros
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec