Preguntas con etiqueta 'appsec'

4
respuestas

¿Qué implica la defensa en profundidad para una aplicación web?

Supongo que significa diferentes niveles de seguridad, desde la seguridad a nivel de la aplicación hasta el fortalecimiento del servidor hasta la capacitación del personal, pero ¿cuáles son cada una de esas capas y cuáles son algunos buenos recu...
hecha 19.11.2010 - 13:19
4
respuestas

¿Cómo debo asegurar un formulario de contacto que aparece en cada página de un sitio web?

Mi cliente tiene un pequeño formulario "Contáctenos" en cada página de su sitio web. Están convencidos de no incluir la verificación CAPTCHA en estos formularios, para que sean fáciles de usar, pero creo que es mi responsabilidad implementar alg...
hecha 01.06.2011 - 17:06
2
respuestas

¿Cuál se considera el ciclo de vida de desarrollo seguro más simple (o más ligero)?

Microsoft tiene SDL simplificado:    "El ciclo de vida del desarrollo de seguridad (SDL) es un proceso de garantía de seguridad que se centra en el desarrollo de software".       "El proceso descrito en este paper establece un umbral míni...
hecha 21.11.2010 - 09:09
7
respuestas

¿Cómo captura TODO el tráfico de una aplicación de Android?

Quiero capturar todo el tráfico de una aplicación de Android para su prueba de lápiz. ¿Cómo hago eso? Esto es lo que ya he intentado: Instalé la aplicación en un emulador e inicié el emulador con un http-proxy apuntando a un puerto...
hecha 10.06.2014 - 16:28
3
respuestas

Beneficios de seguridad de diferentes usuarios de MySQL

Cualquier persona con una célula cerebral sabe que usar un usuario que no sea root / dbo / etc agrega mucho a la seguridad y la eficacia de los ataques de inyección SQL. Me pregunto si llevar esa idea un paso más allá es una buena idea. La id...
hecha 27.04.2011 - 20:50
3
respuestas

¿Es preferible realizar el cifrado utilizando las funciones de la base de datos o el código?

Varias bases de datos con las que estoy familiarizado proporcionan funciones o módulos para el cifrado. Los ejemplos incluyen dbms_crypto para las bases de datos Oracle y incorporado funciones para MySQL. La mayoría de los lenguajes de pr...
hecha 07.12.2012 - 11:39
4
respuestas

¿Cuál es la forma correcta de almacenar cadenas de conexión de base de datos desde el punto de vista de la seguridad?

¿Cuáles son las recomendaciones, las mejores prácticas y las tareas pendientes relacionadas con el manejo de cadenas de conexión en aplicaciones web? ¿Qué cosas nunca se deben hacer?     
hecha 12.11.2010 - 05:49
4
respuestas

¿Por qué debo usar la lista blanca en un WAF?

Estaba estudiando diferentes WAF, desde código abierto (como ModSecurity y NAXSI) hasta soluciones comerciales (Imperva, Citrix, Fortinet, etc.). Muchas personas afirman que tener un WAF basado en listas blancas es mucho más eficiente que la lis...
hecha 21.01.2015 - 14:21
2
respuestas

¿Cómo protegerse contra ataques de clickjacking pero permitir iframes legítimos?

Soy consciente de los enfoques modernos contra el clickjacking, como el encabezado X-Frame-Options o los scripts de framekiller. Pero todas estas tácticas impiden que el contenido esté dentro del iframe. ¿Pero qué sucede si hay un requisito para...
hecha 19.07.2012 - 23:02
2
respuestas

¿Se debe permitir al usuario guardar la contraseña en el navegador?

La empresa de auditoría encontró un error "El atributo de formulario Autocompletar se establece en el campo de contraseña". Ellos sugirieron desactivar el autocompletado en este campo para evitar que se divulgue "cuando se trabaja en entornos co...
hecha 02.02.2012 - 14:14