Domande con tag 'appsec'

domande con tag
4
risposte

Vantaggi della revisione del codice protetto in-IDE rispetto a app grassa e app web

Per quelli di voi che hanno lavorato con strumenti di revisione del codice di sicurezza commerciale come: Klocwork Coverity Armorize Fortify Checkmarx Appscan Source Edition (precedentemente Ounce) O forse un equivalente gratuit...
posta 25.11.2010 - 02:01
1
risposta

Accesso ad altri file locali da un file HTML locale

Ho provato questo domanda sul sito dei programmatori senza fortuna Riesci a vedere qualche motivo per bloccare un file html locale dall'accesso a un altro file locale che si trova nella stessa cartella? Voglio dire, se un utente ha scari...
posta 11.05.2011 - 22:32
3
risposte

Perché dovresti cancellare la tua bacheca quando esci dall'app?

Ho eseguito la scansione di una mia applicazione iOS e la vulnerabilità ad alto rischio sembra essere che il pannello di montaggio non viene cancellato quando termino l'applicazione. Non voglio che l'utente perda informazioni potenzialmente util...
posta 15.01.2016 - 00:31
2
risposte

Come sfrutta Directory Traversal per attraversare da un'unità / condivisione a un'altra?

Sto cercando di capire se è possibile attraversare unità o condivisioni. Se ho un percorso che è concatenato in un'applicazione web, dove il prefisso è un disco, come questo: var path = "D:\" + Request.Params["directory"]; È possibile utili...
posta 29.07.2011 - 00:09
1
risposta

Vary: intestazione risposta origine e sfruttamento CORS

Recentemente PortSwigger (ragazzi dietro Burp Suite) ha pubblicato un post sul blog che parlava dei rischi per la sicurezza associati alle errate configurazioni CORS. link In sintesi, il blog parla di modi non sicuri di abilitare CORS ch...
posta 17.02.2017 - 21:20
1
risposta

come configurare mediawiki con limitazioni di modifica

Sto pianificando di installare un wiki pubblico usando mediawiki, ma non ho mai usato mediawiki per un sito pubblico prima e non ho esperienza con esso, nemmeno come utente. Sto pensando di creare una configurazione wiki molto limitata con la...
posta 08.01.2011 - 22:03
2
risposte

Ricerca di vulnerabilità tramite confronto di codice simile. È un vettore di attacco attuabile?

Considera il seguente scenario: l'utente malintenzionato analizza (in modo ottimale automaticamente) le codebase aperte (ad esempio GitHub) per i frammenti di codice vulnerabili controllando segnalazioni di bug e patch. l'utente malintenzi...
posta 14.09.2015 - 23:29
2
risposte

Cosa considerare quando si genera codice casuale come parte dell'autenticazione a due fattori?

Voglio scrivere una patch per un sistema di autenticazione a due fattori avviato da qualcun altro. Il codice è un modulo per un sistema di gestione dei contenuti PHP e invia un messaggio SMS al telefono dell'utente, dopo aver inserito correttame...
posta 20.02.2012 - 00:04
2
risposte

DIGEST-MD5 è sicuro se eseguito su HTTPS?

Se la negoziazione DIGEST-MD5 viene eseguita su una connessione HTTPS anziché HTTP, ciò impedisce l'elenco di svantaggi da Wikipedia? Digest access authentication is intended as a security trade-off. It is intended to replace unencrypted HT...
posta 28.03.2012 - 18:45
2
risposte

Best practice per l'URL di accesso automatico?

Un URL di accesso automatico è un meccanismo tramite il quale un utente esistente ma disconnesso del tuo sito Web o applicazione può fare clic su un collegamento con un token casuale e essere automaticamente riconosciuto e connesso al tuo sito w...
posta 06.03.2016 - 21:48