Preguntas con etiqueta 'appsec'

preguntas con etiqueta
3
respuestas

¿Cómo demostrar la inyección de SQL?

Tengo líneas en mi código PHP / MySQL que tienen este aspecto: ... $sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id']; ... ... query is executed ... echo $price; Como prueba / demostración, ¿cómo puedo subvertir esto pa...
hecha 01.03.2011 - 15:21
7
respuestas

¿Es una lista negra de direcciones IP una buena práctica para evitar ataques a sitios web?

Mi sitio web tiene una lista negra de direcciones IP. La aplicación web, de alguna manera, detecta todas las influencias sospechosas, no válidas, recuerda la dirección IP y niega cualquier solicitud de esa dirección IP. Entonces, mi pregunta...
hecha 11.11.2010 - 23:56
2
respuestas

¿Cómo abordar los problemas de seguridad de XSS en FCKeditor / CKeditor?

Un informe de seguridad que realizamos a través de una empresa externa informó las vulnerabilidades de XSS en FCKeditor que estamos usando en nuestra aplicación PHP. Señalaron que accediendo a URL como: http://www.ourdomain.com/fckeditor/ed...
hecha 05.01.2011 - 13:28
2
respuestas

prueba de seguridad para desarrolladores

¿Alguien sabe de un breve cuestionario de seguridad que se pueda administrar en línea para probar el conocimiento de seguridad de un desarrollador? Estoy buscando algo sencillo de administrar y simple de calificar, idealmente algo que llevaría a...
hecha 07.06.2012 - 01:26
2
respuestas

¿Android tiene suficiente espacio para aplicaciones?

En una pregunta anterior en InfoSec , Pregunté acerca de cómo determinar la seguridad de una aplicación de Android con carga lateral que requiere permisos de root. Ahora me gustaría hacer una pregunta relacionada, pero diferente: ¿es importa...
hecha 08.03.2015 - 06:24
3
respuestas

¿Es posible la inyección de nulo byte en los nombres de archivo de Java?

De la propuesta de Area51     
hecha 16.11.2010 - 08:23
3
respuestas

Verificación de secuencias de comandos entre sitios en un campo que no acepta más de 20 caracteres

Mientras realizaba las pruebas de penetración, me quedé atascado en un punto. Hay un campo de texto que no acepta más de 20 caracteres (validación del lado del servidor). Inserté el siguiente fragmento de código para verificar XSS (de la hoja de...
hecha 14.06.2011 - 08:39
3
respuestas

¿Puede alguien sugerir buenas herramientas de código abierto para escanear el código fuente en busca de vulnerabilidades? [cerrado]

Estoy buscando particularmente las que detectan vulnerabilidades en el código C / C ++. He visto un montón de herramientas propietarias pero no de código abierto.     
hecha 23.01.2011 - 23:13
2
respuestas

¿Cuáles son los problemas de las inyecciones de SQL de las consultas parametrizadas?

He escrito algún código para generar una consulta SQL en ASP clásico. No estoy seguro de si es seguro o no: Set adoCon = Server.CreateObject("ADODB.Connection") adoCon.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath(...
hecha 15.08.2011 - 08:01
2
respuestas

implicaciones de seguridad de la desreferencia NULL

Supongamos que tenemos un código como este: struct somedata { int a; int b; }; struct somedata *data; /* ... */ data = malloc(sizeof(struct somedata)); data->a = something; Ahora, como puede ver, falta la comprobación del puntero N...
hecha 28.07.2011 - 19:00