Preguntas con etiqueta 'appsec'

1
respuesta

Costes de desarrollo seguros

¿Qué estudios de casos o referencias están disponibles de las compañías que han implementado un proceso de desarrollo seguro (por ejemplo, SDL o similar) en relación con el costo / esfuerzo involucrado? Si bien es probable que cada departamen...
hecha 26.05.2011 - 15:10
3
respuestas

caja blanca vs. caja negra

¿Cuáles son las ventajas y desventajas relativas de cada forma de prueba? Es decir. ¿Cuál es la diferencia entre el análisis de código estático y las pruebas de penetración dinámica / en tiempo de ejecución? ¿Cuáles son los pros y los contras...
hecha 12.11.2010 - 13:43
3
respuestas

Seguridad de inicio

Estoy ejecutando un inicio lean y no puedo pagar a un experto en seguridad dedicado, ¿qué tipo de precauciones puedo tomar? Estos deberían ser baratos, fáciles de implementar y requieren una inversión de tiempo mínima. Para aclarar, ya que e...
hecha 12.11.2010 - 13:49
7
respuestas

¿Qué tan involucrado debería estar un desarrollador en el diseño de una política de seguridad?

Llevo más de 20 años desarrollando software. Durante ese tiempo, he trabajado en compañías de Fortune 100 que tenían requisitos de seguridad muy específicos desarrollados por profesionales de seguridad dedicados y compañías pequeñas sin ningún c...
hecha 25.01.2013 - 15:51
1
respuesta

Cómo usar el mensaje de correo de forma segura

postMessage es una primitiva introducida en HTML5 que las páginas web pueden usar para la comunicación de origen cruzado. ¿Qué debo hacer para usar postMessage de forma segura? ¿Cuáles son las principales fallas o errores de s...
hecha 11.09.2012 - 09:12
4
respuestas

¿Los procedimientos almacenados impiden la inyección de SQL en PostgreSQL?

¿Es cierto que los procedimientos almacenados evitarán que se inyecten bases de datos? Investigué un poco y descubrí que SQL Server, Oracle y MySQL no son seguros contra las inyecciones de SQL si solo usamos procedimientos almacenados. Sin embar...
hecha 19.11.2010 - 23:44
4
respuestas

¿Qué herramientas existen para inspeccionar los archivos SWF de Flash?

Estoy realizando una prueba de penetración en un sitio web que usa Flash en gran medida. ¿Qué herramientas puedo usar para examinar las vulnerabilidades del archivo SWF? De la propuesta de Area51 .     
hecha 16.11.2010 - 08:31
2
respuestas

¿Cómo uso Markdown de forma segura?

¿Cómo uso la biblioteca Markdown de forma segura? ¿Qué debo hacer para asegurarme de que su salida sea segura para incluirla en mi página web? Quiero permitir que usuarios no confiables ingresen contenido (en formato Markdown). Usaré el proce...
hecha 06.05.2012 - 05:51
3
respuestas

¿X-Content-Type-Type realmente evita los ataques de sniffing de contenido?

En la Web enredada, Michal Zalewski dice:    Abstenerse de usar Content-Type: application / octet-stream y use application / binary en su lugar, especialmente para tipos de documentos desconocidos. Abstenerse de devolver Content-Type: text /...
hecha 20.03.2012 - 12:35
5
respuestas

¿Dónde puedo encontrar un tutorial sólido de BURP? [cerrado]

Estoy buscando un buen recurso para aprender / configurar BURP. Entiendo los conceptos detrás del uso del marco y he leído los documentos en el sitio, pero si alguien tiene un enlace tutorial sólido, me encantaría verlo. Hubiera hecho de esto un...
hecha 23.02.2011 - 18:28