Domande con tag 'static-analysis'

domande con tag
0
risposte

Findbugs Source Code Analyzer non è in grado di rilevare le vulnerabilità nel file JSP?

Sto usando FindBugs per fare l'analisi del codice sorgente insieme al plugin Find Security Bugs per rilevare in particolare vulnerabilità di sicurezza come SQL Injection, XSS, ecc. Ho installato il plugin FindBugs per Eclipse IDE e sto usando il...
posta 10.11.2015 - 10:39
0
risposte

attacco di precaricamento della DLL - anche le librerie IAT sono interessate?

Sto per distribuire una libreria di DLL (c'è anche una versione di Linux) per i miei utenti, ma ho paura degli attacchi di pre-caricamento di dll (cioè qualcuno che sostituisce la sua dll dannosa per essere chiamato dal mio e ottenere i privileg...
posta 05.11.2013 - 10:21
3
risposte

Quali sono i pro e i contro dell'utilizzo di CD live vs VM per l'analisi del malware?

Ho intenzione di fare qualche ricerca sul malware per un progetto di ricerca, e mi chiedevo quale sarebbe stata una soluzione migliore per tenere il mio sistema al sicuro da virus che lo infettano accidentalmente. Sto solo pianificando di analiz...
posta 18.02.2014 - 03:12
1
risposta

Problemi con il filtro di esclusione di FindBugs

Ho installato il plug-in FindBugs in Eclipse per l'analisi del codice sorgente con il plug-in FindSecurityBugs per scoprire i problemi di sicurezza con il codice. Voglio filtrare determinati falsi positivi e voglio escluderli nei rapporti genera...
posta 09.11.2015 - 10:06
2
risposte

Analizza eseguibile di Windows

Come posso vedere quali file, porte, URL, ecc. vengono utilizzati da un file eseguibile di Windows sospetto.     
posta 01.10.2015 - 13:35
1
risposta

Ambiente sandbox per analisi "php malware" [chiuso]

Mi piacerebbe sapere come posso analizzare un codice php offuscato? Ho sentito parlare della sandbox cucù, ma sembra troppo opprimente per questo particolare compito. Così ho deciso di eseguire una scatola Vagrant, installare php-cli, tcpdump, ....
posta 20.08.2014 - 16:10
1
risposta

Strumento open source per analizzare javascript per le vulnerabilità della sicurezza [chiuso]

Sono completamente nuovo in questo campo e sono uno studente universitario. Sto cercando uno strumento di analisi del codice statico che analizzi il codice sorgente di un'app Web (NON l'URL) per le vulnerabilità della sicurezza. Finora non ho tr...
posta 08.11.2013 - 21:57
1
risposta

Decompilazione di cartelle all'interno di un file jar [chiuso]

Sono in possesso di un file jar che ho motivo di credere abbia un RAT all'interno. L'ho scaricato all'interno di una macchina virtuale con jad installato e ho iniziato a cercare di guardare la fonte. Ho trovato che jad era utile per decompilare...
posta 23.06.2016 - 22:17
2
risposte

Perché gli analizzatori di codici statici citano CWE piuttosto che CVE nei loro risultati?

Sto scrivendo un articolo su "Il ruolo dell'architettura e del design in Software Assurance" e un commentatore ha chiesto "Fornire un caso più strong per l'utilizzo di CWE sul CVE. Spiegare in che modo le vulnerabilità CVE si riferiscono alla fa...
posta 18.07.2014 - 20:05