Preguntas con etiqueta 'code-review'

preguntas con etiqueta
2
respuestas

Manipulación req.getParameter () Vs req.getAttribute () [cerrado]

¿Es el siguiente código vulnerable? Si es así, ¿cómo puede ser explotado? <% Boolean redirectToSomeSite = (Boolean)request.getAttribute("redirectToSomeSite"); String someSiteUrl = (String)request.getAttribute("someSiteUrl"); if(redirectTo...
hecha 25.09.2012 - 14:33
1
respuesta

Prueba de penetración frente a revisión segura del código fuente [duplicado]

Recientemente me encontré con una situación en la que una institución ha contratado a un proveedor externo para desarrollar sus aplicaciones comerciales. Se me ocurrieron las siguientes preguntas relacionadas con pruebas de penetración y re...
hecha 30.03.2018 - 20:12
2
respuestas

¿Cómo explicar a nuestro gerente de desarrollo los beneficios de usar una impresora también como una función de seguridad?

Alguien mencionó que los linters habrían ayudado no solo a mantener el código mejor y más amigable, sino también más seguro. ESlint tiene una regla para indicar, por ejemplo, usar {} que podría haber ayudado a evitar el error "goto fail;" en...
hecha 10.09.2018 - 06:25
1
respuesta

C ++: memset en una estructura que contiene std :: wstring - ¿Es un riesgo?

Mientras revisaba un fragmento de código en C ++, me topé con instancias (reportadas por CPPcheck) donde se usó memset () en estructuras que contienen miembros de cadena. He encontrado algunas referencias que hablan sobre cómo esto no es una bue...
hecha 23.09.2016 - 11:40
2
respuestas

Recomendaciones de revisión de códigos de seguridad [cerrado]

He estado escribiendo software durante ~ 7 años y he estado activamente interesado en seguridad para ~ 2-3. Este interés ha sido completamente auto-motivado y principalmente del lado del ataque; He escrito varias herramientas ofensivas de segur...
hecha 24.10.2018 - 02:38
2
respuestas

Desbordamiento de búfer debido a strlen, strcpy, strcat

Soy nuevo en la revisión de código seguro. Sé que strlen calculará la longitud hasta que encuentre un carácter nulo. Esto es parte de un código más grande. char* executeMount(char* password, char* path, int unmountOrMount) { char* catString...
hecha 08.01.2018 - 12:55
1
respuesta

Revisión del código de seguridad

Para una aplicación que está alojada en una versión de servidor heredada que no se puede parchear, ¿podría una revisión periódica del código de la aplicación centrada en la seguridad evitar posibles vulnerabilidades explotables en la aplicación?...
hecha 30.08.2016 - 17:41
1
respuesta

Necesita crear un entorno de entrevista para un candidato de ingeniero de seguridad

Trabajo en una startup mediana como DevOps Engineer y necesitamos contratar un ingeniero de seguridad. Como nunca lo he hecho, la empresa me pidió que creara un entorno donde el ingeniero de seguridad candidato debería realizar sus tareas como p...
hecha 11.01.2018 - 10:49
0
respuestas

¿Cuáles son las vulnerabilidades de las aplicaciones web que probablemente se encuentren en una revisión del código fuente frente a una caja gris?

¿Qué tipo de vulnerabilidades se encontrarían adicionales en una revisión del código fuente frente a un pentest? Si mi organización realiza pruebas periódicas de recuadros grises, ¿realmente necesitamos realizar revisiones de código fuente?...
hecha 16.09.2017 - 00:03
0
respuestas

¿Qué es la función de codificación de seguridad de iOS y qué riesgos mitiga?

iOS 6 y las versiones más recientes permiten a los desarrolladores implementar un método de codificación seguro que parece evitar que los objetos del impostor se des-serialicen ¿Alguien puede al lego?     
hecha 12.05.2016 - 19:00