Domande con tag 'appsec'

domande con tag
1
risposta

Costi di sviluppo sicuri

Quali case study o referenze sono disponibili presso le aziende che hanno implementato un processo di sviluppo sicuro (ad esempio, SDL o simili) in base al costo / allo sforzo richiesto. Sebbene sia probabile che ogni dipartimento di sviluppo...
posta 26.05.2011 - 15:10
3
risposte

White-box vs. Black-box

Quali sono i vantaggi e gli svantaggi relativi di ciascuna forma di test? Cioè Qual è la differenza tra analisi del codice statico e test di penetrazione dinamica / dinamica? Quali sono i pro ed i contro di ognuno? Ci sono situazioni in cui un...
posta 12.11.2010 - 13:43
3
risposte

Sicurezza all'avvio

Gestisco una start-up snella e non posso permettermi di pagare un esperto di sicurezza dedicato, che tipo di precauzioni posso prendere? Questi dovrebbero essere economici, semplici da implementare e richiedono un investimento minimo in termini...
posta 12.11.2010 - 13:49
7
risposte

In che modo dovrebbe essere coinvolto uno sviluppatore nella progettazione di una politica di sicurezza?

Ho sviluppato software per oltre 20 anni. In quel periodo ho lavorato in aziende Fortune 100 che avevano requisiti di sicurezza molto specifici sviluppati da professionisti della sicurezza dedicati e piccole aziende senza alcun concetto di requi...
posta 25.01.2013 - 15:51
1
risposta

Come usare postMessage in modo sicuro

postMessage è una primitiva introdotta in HTML5 che le pagine web possono utilizzare per le comunicazioni di origine incrociata. Che cosa devo fare per utilizzare postMessage in modo sicuro? Quali sono le principali insidie o erro...
posta 11.09.2012 - 09:12
4
risposte

Quali strumenti ci sono per ispezionare i file SWF di Flash?

Sto eseguendo un test di penetrazione contro un sito Web che utilizza Flash pesantemente. Quali strumenti posso utilizzare per esaminare il file SWF per le vulnerabilità? Dalla proposta di Area51 .     
posta 16.11.2010 - 08:31
4
risposte

Le stored procedure impediscono l'SQL Injection in PostgreSQL?

È vero che le stored procedure impediranno l'iniezione di database? Ho fatto una piccola ricerca e ho scoperto che SQL-Server, Oracle e MySQL non sono sicuri contro le iniezioni SQL se usiamo solo stored procedure. Tuttavia, questo problema non...
posta 19.11.2010 - 23:44
2
risposte

Come si usa Markdown in modo sicuro?

Come posso utilizzare la libreria Markdown in modo sicuro? Cosa devo fare per assicurarmi che il suo output sia sicuro da includere nella mia pagina web? Voglio consentire agli utenti non fidati di inserire il contenuto (in formato Markdown)....
posta 06.05.2012 - 05:51
3
risposte

X-Content-Type-Options previene davvero gli attacchi di sniffing dei contenuti?

In Tangled Web Michal Zalewski dice: Refrain from using Content-Type: application/octet-stream and use application/binary instead, especially for unknown document types. Refrain from returning Content-Type: text/plain. For example, any...
posta 20.03.2012 - 12:35
5
risposte

Dove posso trovare un tutorial BURP solido? [chiuso]

Sto cercando una buona risorsa per l'apprendimento / configurazione di BURP. Capisco i concetti alla base dell'utilizzo del framework e ho letto i documenti sul sito, ma se qualcuno ha un solido link tutorial mi piacerebbe vederlo. Avrei realizz...
posta 23.02.2011 - 18:28