Domande con tag 'code-review'

domande con tag
2
risposte

Tampering req.getParameter () Vs req.getAttribute () [closed]

Il seguente codice è vulnerabile? Se sì, come può essere sfruttato? <% Boolean redirectToSomeSite = (Boolean)request.getAttribute("redirectToSomeSite"); String someSiteUrl = (String)request.getAttribute("someSiteUrl"); if(redirectToSomeSi...
posta 25.09.2012 - 14:33
1
risposta

Test di penetrazione vs Revisione sicura del codice sorgente [duplicato]

Recentemente mi sono imbattuto in una situazione in cui un'istituzione ha assunto un fornitore di terze parti per sviluppare le sue applicazioni aziendali. Ho trovato le seguenti domande relative al test di penetrazione e recensione indipen...
posta 30.03.2018 - 20:12
2
risposte

Come spiegare al nostro sviluppatore i vantaggi dell'utilizzo di un linter anche come funzionalità di sicurezza?

Qualcuno ha affermato che i linters avrebbero contribuito non solo a mantenere il codice in un aspetto migliore e più amichevole, ma anche più sicuro. ESlint ha una regola per indicare, ad esempio, di usare {} che avrebbe aiutato ad evitare i...
posta 10.09.2018 - 06:25
1
risposta

C ++: memset su una struttura contenente std :: wstring - È un rischio?

Durante la revisione di un pezzo di codice C ++ mi sono imbattuto in istanze (riportate da CPPcheck) in cui memset () è stato utilizzato su strutture contenenti membri di stringhe. Ho trovato alcuni riferimenti che parlano di come questa non sia...
posta 23.09.2016 - 11:40
2
risposte

Consigli per la revisione del codice di sicurezza [chiuso]

Ho scritto software per ~ 7 anni e sono stato attivamente interessato alla sicurezza per ~ 2-3. Questo interesse è stato interamente auto-motivato e principalmente dal lato di attacco; Ho scritto diversi strumenti offensivi di sicurezza FOSS e...
posta 24.10.2018 - 02:38
2
risposte

Overflow del buffer a causa di strlen, strcpy, strcat

Sono nuovo per garantire la revisione del codice. So che strlen calcolerà la lunghezza finché non troverà un carattere nullo. Questa è una parte di un codice più grande. char* executeMount(char* password, char* path, int unmountOrMount) { ch...
posta 08.01.2018 - 12:55
1
risposta

Revisione del codice di sicurezza

Per un'applicazione che è ospitata da una versione server legacy che non può essere riparata, una revisione periodica del codice dell'applicazione per la sicurezza potrebbe impedire potenziali vulnerabilità sfruttabili all'applicazione? È possib...
posta 30.08.2016 - 17:41
1
risposta

Necessità di creare un ambiente di intervista per un candidato di Security Engineer

Lavoro in una startup di medie dimensioni come DevOps Engineer e abbiamo bisogno di assumere un ingegnere della sicurezza. Dal momento che non l'ho mai fatto, l'azienda mi ha chiesto di creare un ambiente in cui il candidato dell'ingegnere della...
posta 11.01.2018 - 10:49
0
risposte

Quali vulnerabilità delle applicazioni Web sono più probabili da trovare in una revisione del codice sorgente rispetto a un pentest della scatola grigia?

Quale tipo di vulnerabilità potrebbe essere trovata aggiuntiva in una revisione del codice sorgente rispetto a un pentest? Se la mia organizzazione esegue regolari ripetizioni di riquadri grigi, è davvero necessario eseguire revisioni del cod...
posta 16.09.2017 - 00:03
0
risposte

Qual è la funzione di codifica sicura di iOS e quali rischi mitiga?

iOS 6 e successivi consente agli sviluppatori di implementare un metodo di codifica sicuro che sembra impedire la de-serializzazione degli oggetti impostor Qualcuno spiega cosa potrebbe effettivamente proteggere ai non addetti ai lavori?  ...
posta 12.05.2016 - 19:00