Domande con tag 'code-review'

3
risposte

Security Review - implementazione password_hash per PHP

Attualmente sto lavorando a una "funzione di supporto" per il nucleo di PHP per rendere l'hashing delle password più sicuro e più semplice per la maggior parte degli sviluppatori. Fondamentalmente, l'obiettivo è renderlo così facile, che è più d...
posta 27.06.2012 - 05:00
5
risposte

Come eseguire un controllo di sicurezza per un'applicazione PHP?

Ho un'applicazione PHP che mi piacerebbe avere verificata per sicurezza. Conosco la maggior parte dei problemi di sicurezza generali, ma voglio essere sicuro che non mi sia mancato nulla. Quali misure dovrei prendere per eseguire un auto-audi...
posta 11.11.2010 - 22:47
6
risposte

Insegnare a una persona amata le pratiche di codifica sicure

Questo potrebbe essere troppo stretto, ma è un problema unico per i professionisti ITSec. Una persona amata sta iniziando una nuova carriera di programmazione e ho la gioia di vederla apprendere da zero i concetti di programmazione più elementar...
posta 12.12.2012 - 17:00
3
risposte

Quali sono i modi per verificare un protocollo auto-scritto?

Prima che tutti gridino: "NON FARE MAI IL TUO CRYPTO", non l'ho fatto, tecnicamente (sono ancora a metà strada), ma a parte questo sto facendo un protocollo simile a TLS, ma molto più leggero. Avevo bisogno di proteggere la comunicazione tra...
posta 20.04.2015 - 11:36
4
risposte

JavaScript sospetto nell'intestazione del sito Web

Non sono sicuro che questo sia il posto giusto per porre domande come questa, scusami se non lo è. Ho trovato il codice seguente nell'intestazione di uno dei miei siti Web WordPress, sono abbastanza sicuro che sia dannoso e l'ho rimosso. Tutt...
posta 15.10.2015 - 14:52
3
risposte

White-box vs. Black-box

Quali sono i vantaggi e gli svantaggi relativi di ciascuna forma di test? Cioè Qual è la differenza tra analisi del codice statico e test di penetrazione dinamica / dinamica? Quali sono i pro ed i contro di ognuno? Ci sono situazioni in cui un...
posta 12.11.2010 - 13:43
6
risposte

Strumenti automatici e recensioni manuali

Quali sono i vantaggi dell'utilizzo di strumenti automatici, al contrario della revisione manuale? Quali sono gli svantaggi? Questo vale sia per la scansione della vulnerabilità blackbox esterna, sia per l'analisi del codice statico. Dall'a...
posta 12.11.2010 - 13:47
4
risposte

Criteri per la valutazione degli strumenti di analisi statica

Come per qualsiasi acquisto di strumenti, una parte del risultato è la qualità dei criteri di valutazione, quindi è importante comprendere i criteri che le persone potrebbero utilizzare per valutare gli strumenti di analisi statica della sicurez...
posta 20.09.2011 - 13:50
5
risposte

Analisi del codice: binario vs origine

Mentre conducete una valutazione della sicurezza del software, se avete accesso al codice sorgente di un'applicazione compilata (per esempio C ++), fareste mai un'analisi sulla versione compilata, con tecniche automatizzate o manualmente? La fuz...
posta 01.03.2011 - 23:10
1
risposta

NoScript è errato? [chiuso]

Ho appena saputo di NoScript, ma dopo averlo installato ho aperto la homepage dell'autore con una pubblicità per "SpeedUpMyPC" che indicava un sito Web UniBlue, che trovavo interessante. Googling ha trovato questo , ma sono passati molti anni d...
posta 17.05.2016 - 10:37