Domande con tag 'appsec'

domande con tag
4
risposte

In che modo dovresti ragionare e lavorare con il paranoico della sicurezza nella tua squadra?

La questione di come bilanciare il pragmatismo con una visione assolutistica della sicurezza è stata discussi qui già . Ma ho bisogno della risposta a una variante concreta di quella domanda. Sei l'esperto di sicurezza assunto per aiutare un...
posta 11.05.2011 - 13:59
3
risposte

Un framework ORM come Hibernate riduce completamente l'iniezione SQL?

So che per impedire a tutti o alla maggior parte degli attacchi SQL injection di utilizzare query parametrizzate. Sto usando Hibernate per un po 'invece di scrivere a mano le mie istruzioni SQL. Esistono attacchi o ricerche noti diretti allo sfr...
posta 09.12.2010 - 19:49
9
risposte

Perché la gente dice che PHP è intrinsecamente insicuro?

Ho sentito dire che PHP è intrinsecamente insicuro. È vero? Perché?     
posta 21.11.2010 - 16:54
4
risposte

La compilazione da fonti "kinda" protegge dagli attacchi di overflow del buffer?

Durante la discussione sui buffer overflow, qualcuno mi ha detto che compilare il proprio binario per un'applicazione (con specifici flag di compilazione) invece di usare il "mainstream binary" rende più difficile per un attacker sfruttare il...
posta 18.07.2011 - 23:26
6
risposte

Questa sicurezza di accesso è sufficiente?

Sto arrivando con il mio prossimo sistema di accesso per gli amministratori di un sito di e-commerce, che avrà questo: il modulo di accesso è protetto SSL la password viene convertita in SHA-256 prima di essere trasmessa (bcrypt è ancora t...
posta 21.06.2011 - 04:53
5
risposte

C'è qualche ragione per mostrare lo stesso messaggio per username non valido come password?

Ho visto una domanda / requisito sulla sicurezza che un accesso al sito web restituisce lo stesso messaggio di errore per la password non valida come per l'utente inesistente. L'idea è che questo rende impossibile scoprire nomi utente validi med...
posta 24.03.2012 - 19:18
4
risposte

Test degli URL puliti con sqlmap

È possibile testare le vulnerabilità di SQL injection usando sqlmap con un url che sta usando riscrittura mod (o qualcosa di simile) per rendere gli URL puliti? So come testare i miei siti che hanno URL come: http://mysite.com/?id=1 Ma...
posta 02.08.2011 - 18:48
7
risposte

Le migliori pratiche per prevenire l'iniezione SQL?

L'iniezione SQL è sempre un argomento scottante, in particolare quando si tratta di sicurezza web. A questo proposito sono interessato a quali sono i passaggi che dovrebbero essere sempre presi per prevenire l'iniezione SQL all'interno di qualsi...
posta 20.12.2010 - 20:56
1
risposta

Il modo migliore per proteggere il sito Web dell'architettura back-end di javascript front-end / REST?

Mi piacerebbe costruire il seguente progetto: back-end dell'API REST pubblico a cui è possibile accedere da qualsiasi client autenticato. front end con file statici in HTML / CSS / Javascript con Backbone.js jQuery chiama al back-end REST...
posta 19.12.2011 - 21:06
4
risposte

Foglio di sicurezza Web / elenco ToDo

Qualcuno può suggerire un cheatsheet o un elenco ToDo di sicurezza del sito Web e delle applicazioni? Un proprietario di una piccola azienda locale ha posto una domanda sulla sicurezza web, in pratica il suo sito Web aziendale ha appena ricev...
posta 09.04.2011 - 05:16