Preguntas con etiqueta 'code-review'

preguntas con etiqueta
2
respuestas

Cómo evaluar la gravedad / impacto de la vulnerabilidad

En nuestra organización, queríamos revisar el panorama general de TI y las aplicaciones más críticas para la vulnerabilidad en la fase 1, y luego ver las aplicaciones menos críticas en la fase 2 ... cuando nos embarcamos en el ejercicio, nos dim...
hecha 30.03.2013 - 15:35
2
respuestas

¿Cuáles son las buenas herramientas gratuitas de código abierto para ayudar en las revisiones manuales del código fuente? [cerrado]

Conozco herramientas que ayudan a identificar vulnerabilidades de seguridad en el código fuente (herramientas de análisis estático), como Findbugs para Java o Pixy para PHP, pero me gustaría conocer buenas herramientas de código abierto gratuita...
hecha 23.04.2013 - 14:02
2
respuestas

revisiones de seguridad del código de terceros

No estoy familiarizado con todos los pasos involucrados en un artículo completo Revisión de seguridad de la información de una aplicación desarrollada internamente. así que me pregunto si el siguiente escenario es común o no. Se crea una apli...
hecha 30.07.2014 - 17:22
2
respuestas

¿Qué software explora el software en busca de posibles vulnerabilidades?

¿Existe algún tipo de herramienta de análisis de software de analizador que analice el código C y genere posibles vulnerabilidades como desbordamientos de búfer?     
hecha 20.06.2012 - 15:51
1
respuesta

¿Se considera inseguro el uso de IsBadReadPtr y IsBadWritePtr?

Estoy auditando (ingeniería inversa) una aplicación x86 C ++ sin código fuente. El análisis estático reveló que la aplicación está utilizando las funciones IsBadReadPtr y IsBadWritePtr Win32 en casi TODOS los casos, para verificar...
hecha 15.02.2016 - 22:19
1
respuesta

Spectre: Problema con la comprensión de POC - Lectura de datos desde caché

Entiendo la vulnerabilidad (Spectre) y, en teoría, lo que PoC hace. Pero no entiendo la parte de PoC , cuando lee o identifica los datos del caché, entre las líneas 86 - 108. Sé que el PoC está leyendo los datos del caché midiendo el tiempo d...
hecha 11.01.2018 - 16:45
2
respuestas

Modo de depuración para una aplicación pero eliminado en producción

Una aplicación utiliza la depuración como booleana para completar el inicio de sesión, contraseña para la autenticación. El código es algo así: if (ContantsFile.CUSTOM_DEBUG_FLAG) //static final { //disable access control ==> admin mode...
hecha 28.12.2011 - 15:27
1
respuesta

Interpretación de encabezados de PE (ejecutables portátiles) de archivos maliciosos sospechosos

Me estoy iniciando en el análisis de malware y estoy analizando un archivo para ver si está empaquetado u oculto. Uso de PEview Estoy examinando los encabezados .text, .rdata y .data. Sé que si hay una gran diferencia entre el Tamaño virtu...
hecha 19.06.2012 - 14:12
1
respuesta

Cómo evitar la codificación PFX de una contraseña PFX

Tengo una aplicación que actúa como un servidor SSL. Tengo el archivo pfx y, en código, he tenido que codificar la contraseña para usarla de la siguiente manera PKCS12_parse(p12, PFXPassword, &pkey, &cert, &ca) Cuanto más leo aq...
hecha 29.03.2016 - 21:00
2
respuestas

Estrategias de análisis de código estático [cerrado]

Imagínese: Se nos ha dado el código fuente de varios programas de software, algunos de código abierto, otros de propiedad exclusiva. ¿Cuál es la mejor estrategia para analizar el código fuente en cada caso? Por ejemplo: Sabemos que el softw...
hecha 03.05.2014 - 12:00