Preguntas con etiqueta 'appsec'

preguntas con etiqueta
4
respuestas

Código complicado para hacer que la memoria sea segura

Estoy diseñando un desafío de tarea para los estudiantes que están aprendiendo sobre la seguridad de la memoria y escribiendo el código C seguro. Como parte de esto, estoy buscando una pequeña tarea de programación en la que no sea trivial escri...
hecha 10.12.2013 - 09:12
6
respuestas

Herramientas automatizadas vs. revisiones manuales

¿Cuáles son las ventajas de usar herramientas automatizadas, en lugar de la revisión manual? ¿Cuáles son las desventajas? Esto se aplica tanto al análisis de vulnerabilidad de blackbox externo como al análisis de código estático. De la prop...
hecha 12.11.2010 - 13:47
3
respuestas

¿Es SSL suficientemente seguro para una API REST? ¿Alguien ha utilizado PGP o AES para cifrar los datos reales dentro de SSL?

Quizás estoy siendo demasiado paranoico, pero después de leer las noticias recientes sobre seguridad de la red, estoy empezando a creer que SSL ya no es suficiente para las transmisiones de datos confidenciales. Ref: enlace enlac...
hecha 05.12.2013 - 18:39
4
respuestas

Secuestro de sesión - regenerar ID de sesión

¿La regeneración del ID de sesión en cada solicitud mitiga la probabilidad de un secuestro de sesión suficiente para que valga la pena implementarlo? Me imagino que combinar un cheque para REMOTE_ADDR vs REMOTE_ADDR almacenado en las variable...
hecha 20.12.2010 - 18:16
4
respuestas

qué hacer después de una posible intrusión en el servidor web de hobby

Mantengo un servidor para alojar mis archivos y varios sitios web para pasatiempos y amigos. Acabo de darme cuenta de que el resumen del sitio que se devolvió en Google para uno de mis dominios estaba relacionado con pornografía (busque "fringe....
hecha 06.04.2011 - 19:37
1
respuesta

¿El uuid_generate_v4 de Postgres es seguro al azar?

Estoy usando uuid_generate_v4 de Postgres en una columna de clave primaria de uuid para generar tokens de autenticación seguros y únicos. ¿Esta bien? ¿Postgres usa una fuente segura de números aleatorios para generar estos UUID o debería estar g...
hecha 14.07.2015 - 16:01
5
respuestas

Seguridad de cifrado de base de datos

Estoy cifrando y desencriptando los datos de mi base de datos desde la API de mis aplicaciones web. Si mi servidor web está comprometido, ¿qué es evitar que alguien use el mismo método para recuperar los datos? Por ejemplo, supongamos que ten...
hecha 19.11.2010 - 22:57
4
respuestas

Criterios para evaluar herramientas de análisis estático

Al igual que con cualquier herramienta, la compra de parte del resultado está en lo buenos que son los criterios de evaluación, por lo que es importante entender los criterios que las personas pueden usar al evaluar las herramientas de análisis...
hecha 20.09.2011 - 13:50
3
respuestas

¿Cerrar sesión en un sitio web garantiza que nadie pueda piratear cookies?

Si hago clic en el enlace de cierre de sesión de un sitio web, ¿significa esto que no es posible que alguien secuestre mi cookie e inicie sesión con ella? Mientras estoy conectado, ¿es posible que alguien que tenga acceso al disco duro de mi...
hecha 12.08.2011 - 17:17
3
respuestas

¿Hay algún escáner de seguridad de aplicaciones web que se pueda integrar con un servidor de compilación?

He pasado mucho tiempo en TeamCity recientemente y las métricas de calidad del código nocturno provenientes del buscador de duplicados, FxCop y NDepend han sido excelentes. Lo que realmente me gustaría hacer es encontrar un escáner de segurid...
hecha 18.12.2010 - 08:33