Preguntas con etiqueta 'code-review'

preguntas con etiqueta
2
respuestas

¿Muestran estas expresiones regulares que fui hackeado?

¿Qué significan estos comandos regex ? Los encontré cuando ejecuté el comando de historial: grep --include=\*.php -rnw . -e "update.creditcard" grep --include=\*.php -rnw . -e "e41e" grep --include=\*.php -rnw . -e "nobugs.com" grep --in...
hecha 27.07.2015 - 12:11
6
respuestas

Fortify360 - Fregaderos y fuentes - Recuento de vulnerabilidad

En un entorno de seguridad de aplicaciones, uso Fortify360 de Fortify Software a diario. Uno de mis mayores obstáculos es explicar los números (fuentes frente a sumideros) Fortify marca cada ubicación en el código fuente donde se muestran...
hecha 20.12.2010 - 21:37
4
respuestas

Enfoque de revisión de código estático

Mis preguntas están relacionadas con el enfoque de análisis de código estático utilizado por Veracode vs Fortify / AppScan. Veracode: encuentra fallas de seguridad en los binarios de las aplicaciones y en el bytecode sin necesidad de fuente....
hecha 14.05.2014 - 04:42
4
respuestas

Hacer una búsqueda a través de archivos php para llamadas peligrosas para revisión manual

Estoy automatizando un script que busca a través de todos los archivos php en un sitio grande en busca de comandos peligrosos. Los archivos que se encuentren serán revisados manualmente. ¿Alguien tiene alguna recomendación para mi script? ¿Ha...
hecha 10.12.2010 - 14:34
2
respuestas

¿Qué tan peligroso es usar herramientas de auditoría de seguridad de terceros?

Esta pregunta está inspirada en dos preguntas relacionadas ( ¿Qué tan seguro es el retroceso para usar? , y Cómo instalar, configurar y usar LSAT en Unix SE). Además de una vulnerabilidad fechada (y parcheada) en LSAT (CVE-2007-1500) he bus...
hecha 02.01.2013 - 22:18
8
respuestas

¿Cuál es la vulnerabilidad en mi código PHP?

Un sitio web mío fue hackeado recientemente. Aunque el sitio web actual no ha cambiado, de alguna manera pudieron usar el dominio para crear un enlace que se redirige a una estafa de phishing de eBay. He eliminado el sitio web por razones obv...
hecha 19.01.2011 - 06:03
2
respuestas

¿La acción de aceptar una solicitud de extracción en Github es vulnerable a las condiciones de la carrera?

En github, cualquier persona (llamémosla Alice) puede bifurcar un proyecto, modificarlo y luego enviar esos cambios al propietario del proyecto (Bob) como una solicitud de extracción, y la idea es que Bob revise el contenido enviado. código para...
hecha 01.03.2016 - 19:42
4
respuestas

Beneficios de la revisión segura del código in-IDE vs. fatapp vs. webapp

Para aquellos de ustedes que han trabajado con herramientas comerciales de revisión de códigos seguros como: Klocwork Coverity Armorize Fortificar Checkmarx Appscan Source Edition (anteriormente Onza) O tal vez un equivalente li...
hecha 25.11.2010 - 02:01
1
respuesta

¿Es vulnerable Request.getHeader ("host")?

Si el siguiente es el fragmento de código, ¿cuáles serían sus sugerencias? <script type="text/javascript" src="<%=request.getHeader("Host")%>/XXX/xxx.js"></script> ¿Es este un claro ejemplo de XSS? En caso afirmativo,...
hecha 20.12.2011 - 12:16
3
respuestas

Realización de una revisión manual del código de seguridad: ¿de qué se debe tener cuidado?

Tenemos una aplicación PHP que queremos que revise el código de un consultor de seguridad externo, pero no tengo claro "cómo" hacer ese proceso. Especificamos qué tipo de pruebas debería realizar, y la primera parte de su informe presentado...
hecha 30.11.2010 - 11:47