Domande con tag 'appsec'

domande con tag
4
risposte

Qual è il modo standard per crittografare un file con una chiave pubblica in Java?

Sto scrivendo un'app client in Java che invia dati crittografati al server. Tutti i client hanno la mia chiave pubblica RSA. Esiste un modo standard per crittografare un determinato file con esso per inviarlo al server? Da siti web come ques...
posta 04.01.2011 - 15:35
5
risposte

Come posso enumerare tutte le chiavi RSA salvate nel Microsoft CSP?

Ho un'applicazione che sta creando diverse chiavi e memorizzandole in vari negozi (in questo caso l'archivio delle macchine). Come posso enumerare tutte le chiavi su un determinato sistema Windows? CspParameters cspParams = new CspPar...
posta 20.01.2011 - 20:19
2
risposte

Dividi un'applicazione in parti utente e amministratore per motivi di sicurezza?

Attualmente sto sviluppando un'applicazione che deve avere la capacità di gestire gli utenti. Se un hacker avesse accesso alla sezione amministrativa, avrebbe accesso a informazioni sensibili e / o potrebbe cancellare account utente ecc. Quin...
posta 07.06.2016 - 08:32
4
risposte

Le informazioni sensibili sono state inserite in una cartella accessibile al pubblico. Chi è responsabile e come procedere?

Sfondo Abbiamo uno staff IT che gestisce il nostro server e uno sviluppatore web che non fa parte dello staff IT e non ha accesso root al server. Tutti i soggetti coinvolti svolgono un lavoro di altissima qualità e non ritengo che questo de...
posta 29.02.2012 - 00:17
3
risposte

Usando la combinazione di estensione del file e tipo MIME (come output per file -i -b) per determinare i file non sicuri?

Permettiamo agli utenti di caricare un numero di file, che inviamo a scribd (doc, xls, ppt, ecc.) o mostriamo come video noi stessi (flv, mov, mp4, etc in flowplayer). Per evitare che gli utenti caricino file non sicuri, controlliamo un insie...
posta 24.09.2011 - 12:44
2
risposte

Rilevazione dei tentativi di attacco a un sito Web?

Attualmente sto cercando di implementare alcune raccomandazioni da OWASP AppSensor Project e vorrei rispondere al attaccante quando cerca di entrare nel mio sito web. Esistono risorse che coprono / analizzano i specifici vettori di attacc...
posta 09.12.2010 - 19:03
7
risposte

Whitelisting elementi DOM per sconfiggere XSS

Come sappiamo, gli sviluppatori sono responsabili della corretta escaping / validazione dei dati forniti dall'utente prima di renderli o memorizzarli. Tuttavia, dobbiamo convenire che è relativamente facile dimenticare un singolo input tra centi...
posta 20.12.2010 - 12:13
5
risposte

Analisi del codice: binario vs origine

Mentre conducete una valutazione della sicurezza del software, se avete accesso al codice sorgente di un'applicazione compilata (per esempio C ++), fareste mai un'analisi sulla versione compilata, con tecniche automatizzate o manualmente? La fuz...
posta 01.03.2011 - 23:10
6
risposte

Da dove iniziare con i test di sicurezza?

A partire da un team di QA che si occupa principalmente di test dei requisiti funzionali e ha poca esperienza di test di sicurezza reali, quali semplici cose pratiche dovrebbe iniziare il team di QA per iniziare a pensare come un aggressore?...
posta 12.04.2012 - 15:18
2
risposte

La richiesta di arricciatura non filtrata di un sito Web è vulnerabile?

Recentemente ero su un sito web che offriva alcune funzionalità non-sense: Inserisci un URL premi invio L'origine HTML di un determinato URL viene visualizzata Fondamentalmente ha recuperato un URL e ne ha semplicemente scaricato il c...
posta 01.08.2015 - 16:05