Domande con tag 'appsec'

domande con tag
3
risposte

Qual è la differenza tra Exploit e Payload?

In materia di sicurezza informatica, sappiamo che i punti deboli del software sono chiamati vulnerabilità (se correlati alla sicurezza). E una volta trovata la vulnerabilità, in teoria richiede un pezzo di codice come proof of concept (questo...
posta 16.04.2013 - 10:25
7
risposte

Password dimenticata o link di reset, che è più sicuro per email?

Originariamente ho postato questo come risposta qui in questa discussione ma non ho ricevuto molti commenti su di esso, e ora sono curioso di sapere che cosa pensano gli altri è l'approccio migliore, o se c'è qualche differenza tra i due appro...
posta 23.03.2012 - 22:46
3
risposte

Programmatore per Security Professional

Sono uno sviluppatore di software (principalmente .NET e Python con circa 2-3 anni di esperienza) che cerca di entrare nel campo della sicurezza informatica. Ho un certificato GWAPT e avrò certificati GSSP-NET e Network + entro la fine di luglio...
posta 21.06.2011 - 01:36
2
risposte

Rails: protezione contro l'iniezione di codice e XSS

Ho iniziato a utilizzare Ruby on Rails e mi chiedevo se ci fossero dei trucchi di sicurezza da tenere in considerazione con Rails, in particolare per quanto riguarda l'iniezione di codice e XSS? So che Rails cerca di prevenire tali attacchi d...
posta 11.11.2010 - 22:31
5
risposte

Protezione dagli attacchi cookie cross-subdominio

Ho letto degli attacchi cookie cross-subdomain qui . Una rapida panoramica di come funziona (da Wikipedia): Un sito web www.example.com distribuisce sottodomini a terze parti non attendibili Una di queste feste, Mallory, che ora contro...
posta 06.04.2013 - 14:35
3
risposte

Perché il doppio invio di token CSRF deve essere crittografato con numeri casuali forti?

Stavo solo esaminando il Cheat Sheet di OWASP per la prevenzione CSRF. Per quanto riguarda il metodo di invio doppio dei cookie , si dice: the site should generate a (cryptographically strong) pseudorandom value Questo metodo si basa co...
posta 18.12.2013 - 10:39
4
risposte

Devo usare Suhosin per PHP?

Suhosin può essere usato per aumentare la sicurezza della tua applicazione PHP. Posso davvero vederne l'uso quando usi host condivisi, con persone multiple (forse malvagie) che eseguono le loro applicazioni PHP lì. Quando hai solo un'app We...
posta 11.11.2010 - 22:59
7
risposte

Come sfruttare la vulnerabilità "PHP_MAGIC_QUOTES ON" per causare il massimo danno?

Ho trovato un sacco di exploit di SQL injection in alcuni sistemi che mantengo. So come prevenire l'iniezione, ma vorrei dimostrare al mio CEO e CTO quanto sia pericoloso se non ci concentriamo abbastanza sul mantenimento delle nostre applicazio...
posta 21.12.2010 - 14:10
6
risposte

Prevenire la divulgazione di informazioni dal pulsante / cronologia back del browser?

Ho dati sensibili che saranno ospitati su un sito web e vorrei impedire che i dati vengano esposti in questo scenario: L'utente principale disconnette l'applicazione, ma non chiude il browser (presuppone un ambiente Kiosk) Quindi un sec...
posta 26.10.2011 - 17:18
4
risposte

Gli SMS, gli MMS sono memorizzati sui server dei fornitori di servizi di rete?

Gli SMS e gli MMS vengono inviati tramite un telefono cellulare memorizzato sui server dei fornitori di servizi di telecomunicazione prima di passarli al destinatario? Dipende dal paese o ogni fornitore di servizi di rete ha le risorse per fa...
posta 09.05.2014 - 07:59