Domande con tag 'code-review'

2
risposte

Queste regex mostrano che sono stato violato?

Che cosa significano questi comandi regex ? Li ho trovati quando ho eseguito il comando di cronologia: grep --include=\*.php -rnw . -e "update.creditcard" grep --include=\*.php -rnw . -e "e41e" grep --include=\*.php -rnw . -e "nobugs.com"...
posta 27.07.2015 - 12:11
6
risposte

Fortify360 - Sinks & Sources - Conteggio delle vulnerabilità

In un ambiente di sicurezza delle applicazioni, utilizzo Fortify360 di Fortify Software su base giornaliera. Uno dei miei più grandi ostacoli è spiegare i numeri (fonti vs lavandini) Fortifica i flag di ogni posizione nel codice sorgente i...
posta 20.12.2010 - 21:37
4
risposte

Approccio alla revisione del codice statico

Le mie domande sono correlate all'approccio di analisi del codice statico utilizzato da Veracode vs Fortify / AppScan. Veracode: trova i difetti di sicurezza nei binari e nel bytecode dell'applicazione senza richiedere l'origine Fortifica...
posta 14.05.2014 - 04:42
4
risposte

Scripting una ricerca tramite file php per chiamate pericolose per la revisione manuale

Sto automatizzando uno script che cerca in tutti i file php di un grosso sito comandi pericolosi. I file trovati verranno sottoposti a revisione manuale del codice. Qualcuno ha qualche raccomandazione per il mio script? C'è qualcosa che ho di...
posta 10.12.2010 - 14:34
2
risposte

Quanto è pericoloso utilizzare gli strumenti di controllo della sicurezza di terze parti?

Questa domanda è ispirata da due domande correlate ( Quanto è sicuro il backtrack da usare e Come installare, configurare e utilizzare LSAT su Unix SE). Oltre a una vulnerabilità datata (e patchata) in LSAT (CVE-2007-1500) ho cercato attra...
posta 02.01.2013 - 22:18
8
risposte

Qual è la vulnerabilità nel mio codice PHP?

Un mio sito Web è stato recentemente violato. Sebbene il sito web reale rimanga invariato, sono stati in qualche modo in grado di utilizzare il dominio per creare un link reindirizzato a una truffa di phishing ebay. Ho rimosso il sito web, pe...
posta 19.01.2011 - 06:03
2
risposte

L'azione di accettare una richiesta di pull su Github è vulnerabile alle condizioni di gara?

Su github, qualsiasi persona (chiamiamoli Alice) può biforcarsi a un progetto, apportare modifiche e quindi inviare tali modifiche al proprietario del progetto (Bob) come richiesta di pull, e l'idea è che Bob riesamini l'inviato codice per accer...
posta 01.03.2016 - 19:42
4
risposte

Vantaggi della revisione del codice protetto in-IDE rispetto a app grassa e app web

Per quelli di voi che hanno lavorato con strumenti di revisione del codice di sicurezza commerciale come: Klocwork Coverity Armorize Fortify Checkmarx Appscan Source Edition (precedentemente Ounce) O forse un equivalente gratuit...
posta 25.11.2010 - 02:01
1
risposta

È Request.getHeader ("host") vulnerabile?

Se il seguente è lo snippet di codice, quali sarebbero i tuoi suggerimenti? <script type="text/javascript" src="<%=request.getHeader("Host")%>/XXX/xxx.js"></script> Questo è un chiaro esempio di XSS? In caso affermativ...
posta 20.12.2011 - 12:16
3
risposte

Ottenere una revisione manuale del codice di sicurezza fatta - A cosa fare attenzione?

Abbiamo un'applicazione PHP che vogliamo ottenere la revisione del codice da un consulente di sicurezza esterno, ma non sono chiaro su come "andare" su quel processo. Abbiamo specificato quale tipo di test avrebbe dovuto fare, e la prima part...
posta 30.11.2010 - 11:47