Domande con tag 'appsec'

domande con tag
2
risposte

requisiti di registrazione per PCI per applicazioni Web

La norma PCI stabilisce quanto deve essere registrato a livello di applicazione o semplicemente cosa non deve essere registrato? Sto lottando con troppa registrazione ora e alcune persone che pensano che dovremmo averlo. Da una prospettiva di...
posta 23.12.2010 - 20:45
4
risposte

Che cosa implica la difesa in profondità per un'app Web?

Suppongo che significhi diversi livelli di sicurezza, dalla sicurezza a livello di app, al rafforzamento dei server, all'addestramento del personale, ma quali sono ciascuno di questi livelli e quali sono alcune buone risorse per ogni livello di...
posta 19.11.2010 - 13:19
4
risposte

Come dovrei proteggere un modulo di contatto che appare su ogni pagina di un sito web?

Il mio cliente ha un piccolo modulo "Contattaci" su ogni pagina del suo sito web. Sono fermamente convinti di non includere la verifica CAPTCHA su questi moduli, per mantenerli facili da usare, ma ritengo che sia mia responsabilità implementare...
posta 01.06.2011 - 17:06
2
risposte

Qual è considerato il ciclo di sviluppo sicuro più semplice (o più leggero)?

Microsoft ha semplificato SDL: "The Security Development Lifecycle (SDL) is a security assurance process that is focused on software development." "The process outlined in this paper sets a minimum threshold for SDL compliance. That sa...
posta 21.11.2010 - 09:09
7
risposte

Come si cattura TUTTO il traffico da un'app per Android?

Voglio catturare tutto il traffico da un'app Android per i suoi pen-test. Come faccio? Ecco cosa ho già provato: Ho installato l'app su un emulatore e ho avviato l'emulatore con http-proxy che punta a una porta locale. La porta locale...
posta 10.06.2014 - 16:28
3
risposte

Diversi vantaggi per la sicurezza degli utenti MySQL

Chiunque abbia una cellula cerebrale sa che l'uso di un utente che non è root / dbo / etc aggiunge molto alla sicurezza e quanto può essere efficace l'attacco SQL injection. Mi chiedo se l'idea di fare un passo avanti sia una buona idea. L'id...
posta 27.04.2011 - 20:50
3
risposte

È preferibile eseguire la crittografia utilizzando le funzioni o il codice del database?

Diversi database con cui ho familiarità forniscono funzioni o moduli per la crittografia. Gli esempi includono dbms_crypto per i database di Oracle e built-in funzioni per MySQL. La maggior parte dei linguaggi di programmazione comunement...
posta 07.12.2012 - 11:39
4
risposte

Qual è il modo giusto di memorizzare le stringhe di connessione al database dal punto di vista della sicurezza?

Quali sono le raccomandazioni, le migliori pratiche e le pratiche per quanto riguarda la gestione delle stringhe di connessione nelle applicazioni Web? Quali cose si dovrebbero mai e poi mai fare?     
posta 12.11.2010 - 05:49
4
risposte

Perché dovrei usare la whitelist su un WAF?

Stavo studiando WAF diversi, da open-source (come ModSecurity e NAXSI) a soluzioni commerciali (Imperva, Citrix, Fortinet, ecc.). Molte persone affermano che avere un WAF basato su whitelist è molto più efficiente della lista nera. Fondamenta...
posta 21.01.2015 - 14:21
2
risposte

Come proteggersi contro l'attacco clickjacking ma consentire iframe legittimi?

Sono a conoscenza dei moderni approcci anti-clickjacking, come l'intestazione X-Frame-Options o gli script framekiller. Ma tutte queste tattiche impediscono ai contenuti di essere contenuti in iframe. Ma cosa succede se c'è un requisito per i co...
posta 19.07.2012 - 23:02