Domande con tag 'appsec'

domande con tag
4
risposte

Qual è la soluzione alla legge di Schneier?

legge Schneier (che dovrebbe probabilmente chiamarsi legge di Babbage). Dichiara che: Anyone, from the most clueless amateur to the best cryptographer, can create an algorithm that he himself can't break. Penso sia chiaro che que...
posta 15.04.2011 - 19:12
2
risposte

GET con parametri aggiuntivi porta a "code injection" in html visualizzato

Abbiamo ottenuto una revisione della sicurezza del nostro codice PHP e la società di sicurezza ha inviato questo messaggio nel loro rapporto: Richiesta GET /appdir/ajax/addAvail.php?counter=1216%3cscript%3ealert(0)%3c%2fscript%3e&from=1...
posta 25.12.2010 - 03:51
3
risposte

La politica di sicurezza dei contenuti è un approccio che vale la pena di supportare?

Mozilla Firefox 4.0 supporta qualcosa chiamato Content Security Policy che disabilita l'interpretazione di Java Script incorporato . Vengono eseguiti solo i file Java Script esterni a cui viene fatto riferimento utilizzando un tag script e che...
posta 28.03.2011 - 14:48
3
risposte

Quali personaggi pericolosi devono essere filtrati dall'input dell'utente prima di essere utilizzati in una query DB2 SQL?

Sto cercando di comprendere appieno come filtrare / sfuggire correttamente i caratteri pericolosi dall'input dell'utente che verranno interpolati in una query DB2 SQL. Il routing di disinfezione che sto analizzando funziona in questo modo:...
posta 09.03.2013 - 23:03
4
risposte

L'uso di GUID per gli ID rende gli ID imprevedibili?

Supponiamo di avere un sito web che memorizza informazioni sulla carta di credito e su quel sito ho una pagina in cui gli utenti possono modificare / cancellare i dati della carta di credito. Per l'esempio, diciamo che l'HTML è simile a quest...
posta 19.02.2013 - 01:33
3
risposte

Lettura della banda magnetica su una carta di credito / debito con un chip EMV

C'è un modo per sapere se una carta di credito / debito ha un chip EMV, leggendo la banda magnetica. In questo modo potrei negare il pagamento tramite banda magnetica e chiedere al cliente di inserire la carta tramite EMV. Come sarebbe possib...
posta 02.07.2015 - 17:27
6
risposte

Quali sono alcuni buoni strumenti gratuiti per eseguire controlli di sicurezza automatizzati per il codice PHP?

Ho cercato un po 'di tempo e sono venuto a mancare. Il più promettente che ho trovato è stato Spike PHP, che sembra non funzionare più. Sto cercando di analizzare il mio codice per i potenziali rischi di SQL Injection, XSS, ecc. Ho passato la ma...
posta 12.03.2011 - 22:31
2
risposte

Preoccupazioni e problemi con lo sviluppo di standard di programmazione sicura

Recentemente mi sono assunto la responsabilità di sviluppare una serie di linee guida di programmazione sicure. La mia intenzione è di fornire, come base, la Guida allo sviluppo di OWASP , diversi livelli di requisiti che corrispondono a i nost...
posta 28.01.2011 - 01:48
2
risposte

Materiali per principianti per la sicurezza web [duplicato]

Quali materiali posso studiare per imparare la sicurezza dello sviluppo web. Sono uno sviluppatore web, utilizzo ASP.NET, Java, PHP e JavaScript. Voglio imparare come costruire siti web robusti e robusti che non siano vulnerabili. Voglio pro...
posta 12.08.2011 - 20:33
2
risposte

Come convalidare correttamente i reindirizzamenti HTTP?

Sto leggendo la Lista di controllo delle procedure di codifica sicura di OWASP e nella loro sezione "Convalida dell'input" hanno una voce che dice: Validate data from redirects (An attacker may submit malicious content directly to the tar...
posta 09.08.2012 - 01:32