Domande con tag 'code-review'

2
risposte

SELinux e lo sfruttamento delle rilocazioni di testo

Mi è stato assegnato il compito di adottare e implementare una determinata soluzione software di backup per la nostra farm GNU / Linux. Come da requisiti definiti dal mio reparto, questa soluzione dovrebbe supportare i sistemi abilitati per SEL...
posta 14.04.2013 - 19:28
2
risposte

GET con parametri aggiuntivi porta a "code injection" in html visualizzato

Abbiamo ottenuto una revisione della sicurezza del nostro codice PHP e la società di sicurezza ha inviato questo messaggio nel loro rapporto: Richiesta GET /appdir/ajax/addAvail.php?counter=1216%3cscript%3ealert(0)%3c%2fscript%3e&from=1...
posta 25.12.2010 - 04:51
6
risposte

Quali sono alcuni buoni strumenti gratuiti per eseguire controlli di sicurezza automatizzati per il codice PHP?

Ho cercato un po 'di tempo e sono venuto a mancare. Il più promettente che ho trovato è stato Spike PHP, che sembra non funzionare più. Sto cercando di analizzare il mio codice per i potenziali rischi di SQL Injection, XSS, ecc. Ho passato la ma...
posta 12.03.2011 - 23:31
1
risposta

Revisione del codice su un'iniezione di intestazione In Java: qualche aiuto?

Sto verificando un pezzo di codice Java che potrebbe essere vulnerabile a Iniezione header : String headerValue =request.getParameter("headerVal"); //escaping CRLF headerValue = headerValue.replace("\n", ""); headerValue = headerValue.replac...
posta 28.12.2011 - 17:15
3
risposte

Come valutare le librerie Open Source?

Esiste qualche tipo di strumento di scansione automatico che rileva le minacce nelle librerie Java Open Source? Penso che il progetto Orizon di OWASP abbia cercato di costruire uno strumento del genere, ma sembra essere inattivo da anni. I...
posta 05.03.2012 - 13:00
2
risposte

La funzione eval () di PHP è vulnerabile all'iniezione di codice quando si esegue una stringa creata da un array?

Sto cercando di saperne di più sullo sfruttamento di eval () di PHP e mi sono imbattuto in questo scenario: <?php $test = array(); $test[0] = "command0 "; $test[1] = $_GET["cmd1"]; $test[2] = "command2 "; $test[3] = "command3 "; $params =...
posta 10.01.2018 - 04:16
2
risposte

Scanner di codici di sicurezza HTML 5

Ci sono scanner di codici sul mercato che analizzano il codice HTML 5? Qualcuno ha un elenco di tag con configurazioni CORS specifiche che richiedono / possono essere scansionate?     
posta 24.01.2012 - 13:17
2
risposte

Valutazione della sicurezza in outsourcing

Qualcuno ha esperienza con l'outsourcing della revisione del codice di sicurezza tramite siti freelance (come Rent-a-coder, Elance, Guru, Getafreelancer, ecc.)? È efficace? Quali sono le migliori pratiche? Ci sono delle insidie? Qualcuno ha qual...
posta 07.08.2011 - 05:27
3
risposte

Cosa considerare in uno SLA per garantire software sicuro quando si esternalizza lo sviluppo di software?

Per garantire uno sviluppo sicuro nel team off shore, quali sono le considerazioni da prendere in considerazione nello SLA? Ho preso questo come riferimento: link Qualcuno ha qualche modello e documento di esempio a cui fare riferimento?...
posta 18.01.2012 - 21:03
3
risposte

Comunità di test di penetrazione delle applicazioni web open source

Realizzo web per vivere ma la mia vera passione è la sicurezza. Ho lavorato con innumerevoli applicazioni / framework web open source e ho riscontrato vulnerabilità nella maggior parte di essi. La causa principale di queste vulnerabilità è la ma...
posta 21.08.2011 - 18:17