Preguntas con etiqueta 'code-review'

3
respuestas

Herramienta segura de revisión de código fuente para jQuery

¿Alguien sabe alguna herramienta segura de revisión de código fuente para jQuery / jQueryUI? He mirado alrededor un poco pero no pude encontrar nada. Es demasiado bueno si es de código abierto.     
hecha 21.08.2012 - 14:39
3
respuestas

¿Existen herramientas de análisis estático gratuitas para el código C # / .NET [cerrado]

Un cliente me pidió recientemente que realice una revisión del código en el código C #. Como contratista independiente, me preguntaba cuáles son las soluciones automatizadas que no tendrían que romper el banco para realizar tareas similares....
hecha 05.12.2012 - 22:52
2
respuestas

¿Cómo organiza una revisión de código / informe de análisis estático?

Recientemente me involucré en una revisión del código de seguridad. Encontré muchas cadenas de formato, desbordamiento de búfer y llamada peligrosa a la función libc. Ahora mismo tengo que escribir un informe con todas las cosas fundadas d...
hecha 28.09.2011 - 09:51
2
respuestas

Recomendaciones para documentar la revisión del código de seguridad

¿Cómo debo documentar los resultados de una revisión del código de seguridad? ¿Alguien sabe de recursos para revisores que brinden orientación sobre cómo deben documentar sus hallazgos? ¿Quizás un documento que describe las mejores prácticas...
hecha 06.06.2012 - 22:07
4
respuestas

Cómo presentar mejor 'Comentarios sobre la vulnerabilidad de la seguridad' a los desarrolladores en el IDE (como VisualStudio)

Hoy publiqué un PoC bastante bueno en el que pude proporcionar "comentarios de vulnerabilidad de seguridad" en tiempo real a un desarrollador mientras escribe el código en VisualStudio. Puede ver el video en Comentarios sobre la creación de...
hecha 22.06.2012 - 00:38
5
respuestas

¿Cuál es la falla de seguridad en este ejemplo de "parámetros mágicos"?

Estoy leyendo Guía de pruebas OWASP v3 :    Ejemplo 1: Parámetros mágicos       Imagina una aplicación web simple que acepta un par de valor-nombre de "magia" y luego el valor. Para simplificar, la solicitud GET puede ser: http://www.h...
hecha 07.03.2014 - 09:10
2
respuestas

Revisión de seguridad: ¿es segura esta clase de envoltorio mcrypt de PHP?

   Actualización (6 de febrero de 2015):   Parece que la clase en cuestión se ha actualizado como respuesta a las respuestas aquí (a través de un problema, ahora cerrado, planteado en github). Estaba buscando una biblioteca fáci...
hecha 02.12.2014 - 14:10
2
respuestas

Desarrollo de software seguro

Estoy investigando modelos sobre la creación de seguridad en el SDLC y hasta ahora he encontrado: BSIMM Microsoft SDL Abrir SAMM ¿Hay otros documentos y recursos para examinar? ¿Herramientas específicas que incorporan los principios d...
hecha 17.11.2011 - 21:08
2
respuestas

¿El siguiente código PHP resultará en una filtración / divulgación de información del código fuente?

Soy consciente de esta vulnerabilidad a través del envoltorio de flujo filter de PHP que puede revelar el código fuente de PHP: file=php://filter/convert.base64-encode/resource=filename.php . Así que seguí adelante para protegerm...
hecha 18.05.2015 - 05:13
1
respuesta

Pruebas de penetración de aplicaciones de Silverlight

¿Cuál sería el proceso para pentesting una aplicación de Silverlight? ¿Cuál sería el mejor método para proceder en una prueba manual? ¿Alguna herramienta específica de uso? Por ejemplo, una aplicación con mucha carga de archivos, campos de entra...
hecha 09.11.2011 - 17:58