Preguntas con etiqueta 'appsec'

preguntas con etiqueta
2
respuestas

Cambiar los valores del formulario del cliente de Windows en tiempo de ejecución

Estoy realizando una auditoría de código de una aplicación VB6 más antigua que utiliza SQL de construcción dinámica para ejecutar en la base de datos. Si bien veo esto como un punto de inyección de SQL, el desarrollador sostiene que, dado que to...
hecha 05.03.2012 - 21:38
2
respuestas

Apilar canarios, para proteger los punteros de función en objetos de montón

Me pregunto si alguien ha propuesto, evaluado o implementado previamente la siguiente medida para reforzar los sistemas contra sobrecargas de búfer basadas en el montón: básicamente, apilar canarios, pero aplicados antes de punteros de función e...
hecha 05.06.2014 - 01:57
1
respuesta

La instalación del perfil en la aplicación de correo "Bueno" le da a alguien permiso de administrador en mi iPhone

Mi nueva empresa usa la aplicación "BUENA" para los correos electrónicos. Pero para usarlo, tengo que instalar un BUEN perfil con la descripción: "Instalar este perfil para inscribirse en el servicio de perfil cifrado". Si elijo "Instalar", reci...
hecha 06.03.2014 - 14:42
2
respuestas

Metodologías de prueba de seguridad API

He estado encontrando cada vez más clientes que necesitan sus puntos finales de API (generalmente REST) analizados para detectar vulnerabilidades y quería llegar para ver si alguien tiene algunas recomendaciones más allá de lo que he estado haci...
hecha 05.02.2014 - 23:34
2
respuestas

¿Está bien hacer una prueba de seguridad en paralelo con una prueba de control de calidad?

Puede que esta no sea una pregunta muy técnica en sí misma, así que siéntase libre de moverla al foro / pila correspondiente. Sin embargo, realmente agradecería a cualquiera que haya experimentado o que haya experimentado una situación similar y...
hecha 18.05.2016 - 12:24
2
respuestas

Ejecutando comandos arbitrarios a través de la entrada iptables-restore

Durante un pentest encontré una manera de agregar reglas de firewall iptables arbitrarias a un servidor. Estas reglas se aplican mediante el comando iptables-restore, y me he estado preguntando si hay alguna forma de ejecutar comandos manipuland...
hecha 17.05.2013 - 13:41
1
respuesta

¿Alguien usa la API de mitigación de seguridad de nombre de dominio internacional (IDN)? ¿Hay un envoltorio para .NET?

El API de mitigación del nombre de dominio internacional es disponible aquí para descargar . ¿Los ha usado alguien desde que se publicaron por primera vez en 2006? ¿Hay alguna actualización pendiente para ellos (no puedo encontrar un sitio d...
hecha 06.12.2010 - 18:05
2
respuestas

¿Cargar malware en el repositorio de F-Droid?

¿Cómo es el proceso de auditoría / investigación para obtener una aplicación de Android en el repositorio de F-Droid? Para preguntarlo de otra manera, ¿qué puede hacer para evitar que un desarrollador malvado cargue una aplicación de Android de...
hecha 19.12.2018 - 04:39
1
respuesta

¿Cómo se compara (y contrasta) la función de "Identidad del servicio" de Azure ACS con un IDP real?

Parece que el ACS tiene características de estilo IDP dentro de la sección "Identidades de servicio". ¿Cómo los trata ACS en comparación con un IDP real? ¿Qué falta? Algunos ejemplos en los que estoy pensando incluyen: Bloqueo de cuenta, Audi...
hecha 12.04.2011 - 03:42
1
respuesta

¿El atacante está reinyectando opciones de formulario?

Tomo información de formulario en todo mi sitio y uso los parámetros de consulta para sanear los datos. Cuando se pasa un tipo de datos no válido, se emite un aviso simple (no detallado) y recibo un correo electrónico con lo que se pasó. Pare...
hecha 25.07.2011 - 17:56