Preguntas con etiqueta 'dynamic-analysis'

2
respuestas

¿Pueden los resultados de las herramientas DAST (Pruebas de seguridad de aplicación dinámica) ser falsos positivos?

Sé que los resultados de Static Application Security Testing (SAST) pueden ser falsos positivos o reales y depende del desarrollador y analista de seguridad decidir qué vulnerabilidad es real según el escenario y el contexto. ¿Lo mismo se apl...
hecha 10.05.2018 - 01:07
1
respuesta

¿Cuál es la relación entre los códigos de respuesta HTTP y la ejecución exitosa de los ataques XSS?

¿Cuál es la relación entre los códigos de respuesta HTTP y la ejecución exitosa de los ataques XSS? Por ejemplo, estoy usando un escáner de vulnerabilidad comercial que informa sobre la vulnerabilidad XSS encontrada en una determinada página web...
hecha 09.05.2018 - 21:42
1
respuesta

¿Es posible hacer que mi host esté completamente seguro desde la máquina virtual (donde haré un análisis de malware)?

Estoy usando la edición de Windows 10 Home (actualización de los creadores de otoño), disco duro de 750 GB. Uso Oracle VirtualBox y tengo dos máquinas virtuales: Windows 7 (32 bits) y Ubuntu 14.04.5. Haré un análisis de malware dentro de las máq...
hecha 19.11.2017 - 15:20
2
respuestas

Fuzzing versus Symbolic Execution - ¿cuál es la diferencia?

Fuzzing, según la definición actual de Wikipedia, se define de la siguiente manera:    Fuzzing o fuzz testing es una técnica de prueba de software automatizada que consiste en proporcionar datos no válidos, inesperados o aleatorios como entra...
hecha 01.11.2018 - 21:47
1
respuesta

Extraer urls de malware ofuscado de Android

Trabajando en malware de Android, me he enfrentado a muchos malwares de Android que normalmente contienen URL que son página de phishing bancario . Este tipo de malware está creciendo en número, por lo que realmente se necesita un sistema de de...
hecha 30.04.2018 - 21:15
1
respuesta

Retraso de ejecución de malware

Soy nuevo en el análisis de malware y actualmente estoy usando Cuckoo para comprender algunos de los conceptos básicos. Estoy tratando de calcular el tiempo que el malware demora sus ejecuciones iniciales. Encontré una llamada funcional Nt...
hecha 10.10.2018 - 19:39
0
respuestas

¿Cómo desviar las solicitudes de IP codificadas utilizando FakeNet-NG?

Comencé a estudiar el análisis de malware. He usado apateDNS y INetSim para simular servicios externos y ahora estoy probando FakeNet-NG , pero Estoy luchando para realizar una operación muy básica. ¿Cómo es posible desviar las solicitud...
hecha 08.11.2018 - 13:56
0
respuestas

Proxy de ataque de Zed: enumeración de contenidos dinámicos y parámetros asociados

Después de la fase inicial de recopilación de información, es posible en ZAP exportar o listar cualquier contenido dinámico y los parámetros respectivos de una manera estructurada, es decir, excluyendo cualquier contenido estático (imágenes, pág...
hecha 24.02.2018 - 05:19
0
respuestas

¿Cómo obtener muestras de Malware interesantes para una demostración? [duplicar]

Tengo que mostrar una demostración en el frente de una clase de Cuckoo Sandbox para la asignación de módulos. ¿Existe un sitio web o repositorio para descargar muestras de Malware que muestren comportamientos interesantes? Pensé que si podía h...
hecha 14.12.2018 - 12:22