Domande con tag 'code-review'

domande con tag
2
risposte

Come valutare la gravità / l'impatto della vulnerabilità

Nella nostra organizzazione volevamo esaminare il panorama generale dell'IT e verificare le applicazioni più critiche per la vulnerabilità nella fase 1, e quindi esaminare le applicazioni critiche minori nella fase 2 ... mentre ci muovevamo nell...
posta 30.03.2013 - 15:35
2
risposte

Quali sono i buoni strumenti open source gratuiti per aiutare nelle revisioni manuali dei codici sorgente? [chiuso]

Conosco strumenti che aiutano a identificare le vulnerabilità di sicurezza nel codice sorgente (strumenti di analisi statici), come Findbugs per Java o Pixy per PHP, ma mi piacerebbe conoscere gli strumenti gratuiti di open source che aiutano ne...
posta 23.04.2013 - 14:02
2
risposte

recensioni di sicurezza del codice di terze parti

Non ho familiarità con tutti i passaggi coinvolti in un vero e proprio a tutti gli effetti revisione della sicurezza delle informazioni di un'applicazione sviluppata internamente, quindi mi chiedo se il seguente scenario sia o meno normale. V...
posta 30.07.2014 - 17:22
2
risposte

Quale software esegue la scansione del software per potenziali vulnerabilità?

Esiste qualche tipo di strumento di analisi del software parser che analizzerà il codice C e produrrà possibili vulnerabilità come buffer overflow?     
posta 20.06.2012 - 15:51
1
risposta

Si sta utilizzando IsBadReadPtr e IsBadWritePtr considerati non sicuri?

Sto verificando (reverse engineering) un'applicazione x86 C ++ senza codice sorgente. L'analisi statica ha rivelato che l'applicazione utilizza le funzioni IsBadReadPtr e IsBadWritePtr Win32 in quasi tutti i casi, per verificare i para...
posta 15.02.2016 - 22:19
1
risposta

Spectre: Problema con Understanding POC - Lettura dei dati dalla cache

Comprendo la vulnerabilità (Spectre) e, in teoria, cosa fa il PoC . Ma non capisco la parte del PoC , quando legge o identifica i dati dalla cache, tra le righe 86 - 108. So che il PoC sta leggendo i dati dalla cache misurando il tempo di lett...
posta 11.01.2018 - 16:45
2
risposte

Modalità debug per un'applicazione ma rimossa in produzione

Un'applicazione usa il debug come booleano per il login di prefill, password per l'autenticazione. Il codice è qualcosa del genere: if (ContantsFile.CUSTOM_DEBUG_FLAG) //static final { //disable access control ==> admin mode (admin secti...
posta 28.12.2011 - 15:27
1
risposta

Intepreting di intestazioni PE (Portable Executable) di file malware sospetti

Sto avviando l'analisi del malware e sto analizzando un file per vedere se è imballato o offuscato. Utilizzo di PEview Sto esaminando le intestazioni .text, .rdata e .data. So che se c'è una grande differenza tra Dimensione Virtuale (consu...
posta 19.06.2012 - 14:12
1
risposta

Come aggirare la codifica di una password PFX

Ho un'applicazione che funge da server SSL. Ho il file pfx e nel codice, ho dovuto codificare la password per utilizzarla nel seguente modo PKCS12_parse(p12, PFXPassword, &pkey, &cert, &ca) Quanto più leggo qui, tanto più mi sto...
posta 29.03.2016 - 21:00
2
risposte

Strategie di analisi del codice statico [chiuso]

Immagina: ci è stato dato il codice sorgente di diversi programmi software, alcuni open source, altri proprietari. Qual è la migliore strategia per analizzare il codice sorgente in ogni caso? Ad esempio: Sappiamo che il software open source...
posta 03.05.2014 - 12:00