Domande con tag 'appsec'

domande con tag
2
risposte

L'utente dovrebbe poter salvare la password nel browser?

La società di revisione ha rilevato un errore "L'attributo di modulo Completamento automatico è impostato nel campo della password". Hanno suggerito di disabilitare il completamento automatico di questo campo per impedirne la divulgazione "quand...
posta 02.02.2012 - 14:14
3
risposte

Come dimostrare l'iniezione SQL?

Ho delle linee nel mio codice PHP / MySQL che assomigliano a questo: ... $sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id']; ... ... query is executed ... echo $price; Come test / dimostrazione, come posso sovvertire qu...
posta 01.03.2011 - 15:21
7
risposte

Una buona pratica di black list sull'indirizzo IP impedisce gli attacchi ai siti web?

Il mio sito web ha una lista nera di indirizzi IP. L'applicazione web, in qualche modo, rileva tutte le influenze sospette e non valide su di esso e ricorda l'indirizzo IP e nega qualsiasi richiesta da tale indirizzo IP. Quindi la mia domanda...
posta 11.11.2010 - 23:56
2
risposte

Come risolvere i problemi di sicurezza XSS in FCKeditor / CKeditor?

Un rapporto sulla sicurezza che abbiamo condotto tramite una società esterna ha segnalato le vulnerabilità XSS in FCKeditor che stiamo utilizzando nella nostra applicazione PHP. Hanno sottolineato che l'accesso a URL come: http://www.ourdom...
posta 05.01.2011 - 13:28
2
risposte

Quiz sulla sicurezza per gli sviluppatori

Qualcuno sa di un breve quiz sulla sicurezza che potrebbe essere amministrato online, per testare le conoscenze sulla sicurezza di uno sviluppatore? Sto cercando qualcosa di semplice da amministrare e semplice da valutare, idealmente qualcosa ch...
posta 07.06.2012 - 01:26
2
risposte

Android ha un'app di sandboxing sufficiente?

In un domanda precedente in InfoSec , Ho chiesto come determinare la sicurezza di un'app per Android sideloaded che richiede i permessi di root. Ora vorrei porre una domanda correlata, ma diversa: è importante verificare la sicurezza di un'a...
posta 08.03.2015 - 06:24
3
risposte

È possibile l'iniezione null-byte nei nomi file Java?

Dalla proposta di Area51     
posta 16.11.2010 - 08:23
3
risposte

Verifica dello scripting cross-site su un campo che non accetta più di 20 caratteri

Durante l'esecuzione dei test di penetrazione, sono rimasto bloccato fino a un certo punto. C'è un campo di testo che non accetta più di 20 caratteri (convalida lato server). Ho inserito il seguente codice per verificare XSS (dal cheat XSS di RS...
posta 14.06.2011 - 08:39
3
risposte

Qualcuno può suggerire buoni strumenti open source per la scansione del codice sorgente per le vulnerabilità? [chiuso]

Sono particolarmente alla ricerca di vulnerabilità nel codice C / C ++. Ho visto un sacco di strumenti proprietari ma non open source.     
posta 23.01.2011 - 23:13
2
risposte

Quali sono i problemi di SQL injection delle query parametrizzate?

Ho scritto del codice per generare una query SQL in ASP classic. Non sono sicuro che sia sicuro o meno: Set adoCon = Server.CreateObject("ADODB.Connection") adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath(dbfi...
posta 15.08.2011 - 08:01