Domande con tag 'appsec'

domande con tag
1
risposta

Esiste una libreria Java raccomandata per i test di penetrazione?

Qualcuno ha qualche raccomandazione per una buona libreria Java che può essere usata per i test di penetrazione? Una volta ho letto di una libreria che penso si chiamava "Attack lib" ma non riesco a trovarla più. EDIT: Questa libreria dovr...
posta 28.11.2010 - 22:24
2
risposte

Come posso testare la mia applicazione web per gli attacchi temporali?

condizioni di gara, ecc. Ci sono strumenti automatici per questo? Quali tecniche manuali dovrei usare? Dalla proposta di Area51     
posta 16.11.2010 - 08:34
3
risposte

Ottenere una revisione manuale del codice di sicurezza fatta - A cosa fare attenzione?

Abbiamo un'applicazione PHP che vogliamo ottenere la revisione del codice da un consulente di sicurezza esterno, ma non sono chiaro su come "andare" su quel processo. Abbiamo specificato quale tipo di test avrebbe dovuto fare, e la prima part...
posta 30.11.2010 - 11:47
2
risposte

Sto cercando feedback su Secure Development Lifecycle per Scrum che è stato testato?

Questa domanda è in effetti indirizzata a SDL ma a Scrum. L'A-SDL di Microsoft è bello, ma sinceramente non ho nemmeno osato testarlo in realtà perché sembra troppo accademico. Intendo quello che chiedono, richiede un esercito di sviluppatori! o...
posta 22.11.2010 - 09:24
2
risposte

Modelli predefiniti di progettazione della sicurezza?

Nell'ingegneria del software, un modello di progettazione è una soluzione generale riutilizzabile per un problema comune in un dato contesto nella progettazione del software. Wikipedia elenca molti modelli di design diversi, ad esempio, ma la...
posta 30.03.2012 - 14:51
2
risposte

Mantenere privati i dati degli utenti in un ambiente cloud come Google App Engine

Sto scrivendo un'applicazione Java open source per Google App Engine (GAE). L'applicazione consentirà agli utenti di creare contenuti destinati a essere privati. Voglio fornire ragionevoli garanzie che nessuno (incluso me, come amministratore de...
posta 19.12.2011 - 20:37
4
risposte

XSS è pericoloso nell'applicazione senza database?

Penso che non sia così, perché l'XSS che non viene salvato da nessuna parte danneggerebbe SOLO l'attaccante. Ho ragione o ci sono dei casi in cui l'XSS potrebbe danneggiare l'applicazione non-db? (Voglio dire che i dati non vengono salvati ov...
posta 25.07.2011 - 16:31
7
risposte

Devo impedire l'invio di richieste GET per gli URL che normalmente vengono gestiti con la richiesta POST?

Esiste un url che viene normalmente utilizzato utilizzando le richieste POST (vale a dire che la richiesta POST viene inviata quando l'utente invia il modulo). Ma l'utente malintenzionato può creare una richiesta GET con parametri inviati nella...
posta 18.10.2011 - 19:29
2
risposte

Codifica HTML per la protezione contro XSS

Passando attraverso alcuni riferimenti sulla protezione contro XSS ho scoperto che è una buona pratica codificare i dati (inseriti dagli utenti) prima di usarli per generare una pagina dinamica. Non sono riuscito a trovare una spiegazione dettag...
posta 14.03.2013 - 11:01
3
risposte

GET vs POST, che è più sicuro? [duplicare]

Ho sentito parlare della differenza programmatica b / w GET e POST nelle applicazioni web. Chiedendo curiosità che è più sicuro, metodo GET o metodo POST nelle applicazioni web, mi aspetto risposte anche in termini di proto...
posta 06.04.2013 - 10:21