Domande con tag 'dynamic-analysis'

1
risposta

C'è una vera differenza tra analisi dinamica e test?

Spesso i test sono considerati un'analisi dinamica di un software. Tuttavia mentre scrivevo la mia tesi, il revisore mi ha fatto notare che l'analisi dinamica riguarda l'analisi del programma dietro le quinte - ad es. profilazione e che non è la...
posta 14.11.2012 - 21:21
2
risposte

Analisi statica, analisi dinamica e test

In base alle risposte che ho ricevuto qui e poi confermato in alcune fonti autorevoli (non ISTQB che sembra essere troppo vago), ci sono 3 attività: Analisi statica Analisi dinamica Test Ma c'è qualche ragione per cui non possiamo com...
posta 17.11.2012 - 11:46
2
risposte

I risultati degli strumenti DAST (Dynamic Application Security Testing) possono essere falsi positivi?

So che i risultati di Static Application Security Testing (SAST) possono essere falsi positivi o reali e spetta all'analista e allo sviluppatore della sicurezza decidere quale vulnerabilità è reale in base allo scenario e al contesto. Lo stes...
posta 10.05.2018 - 01:07
1
risposta

Qual è la relazione tra i codici di risposta HTTP e l'esecuzione corretta degli attacchi XSS?

Qual è la relazione tra i codici di risposta HTTP e l'esecuzione di successo degli attacchi XSS? Ad esempio, sto utilizzando uno scanner di vulnerabilità commerciale che segnala la vulnerabilità XSS rilevata in una determinata pagina Web. Descri...
posta 09.05.2018 - 21:42
1
risposta

E 'possibile rendere il mio host completamente sicuro dalla macchina virtuale (dove farò l'analisi del malware)?

Utilizzo Windows 10 Home edition (aggiornamento dei creativi di Fall), disco fisso da 750 GB. Io uso Oracle VirtualBox e ho due macchine virtuali lì: Windows 7 (32 bit) e Ubuntu 14.04.5. Farò analisi del malware all'interno delle macchine virtua...
posta 19.11.2017 - 15:20
2
risposte

Fuzzing contro l'esecuzione simbolica: qual è la differenza?

Lo sfarfallio, secondo una definizione attuale di Wikipedia, è definito nel modo seguente: Fuzzing or fuzz testing is an automated software testing technique that involves providing invalid, unexpected, or random data as inputs to a compute...
posta 01.11.2018 - 21:47
1
risposta

Estrarre gli URL dal malware Android offuscato

Lavorando su malware Android, ho dovuto affrontare molti malware Android che normalmente contengono URL che sono bank phishing page . Questo tipo di malware sta crescendo di numero, quindi è veramente necessario un sistema di rilevamento autom...
posta 30.04.2018 - 21:15
1
risposta

Ritardo esecuzione malware

Sono nuovo nell'analisi del malware e attualmente sto utilizzando Cuckoo per comprendere alcune delle nozioni di base. Sto cercando di capire quando il malware ritarda le sue esecuzioni iniziali. Ho trovato una chiamata funzionale NtDelayEx...
posta 10.10.2018 - 19:39
0
risposte

Zed Attack Proxy: enumerazione di contenuti dinamici e parametri associati

Dopo la fase iniziale di raccolta delle informazioni, in ZAP è possibile esportare o elencare qualsiasi contenuto dinamico e i rispettivi parametri in modo strutturato, ad esempio, escludendo qualsiasi contenuto statico (immagini, pagine html, e...
posta 24.02.2018 - 05:19