Preguntas con etiqueta 'source-code'

preguntas con etiqueta
1
respuesta

¿Es vulnerable Request.getHeader ("host")?

Si el siguiente es el fragmento de código, ¿cuáles serían sus sugerencias? <script type="text/javascript" src="<%=request.getHeader("Host")%>/XXX/xxx.js"></script> ¿Es este un claro ejemplo de XSS? En caso afirmativo,...
hecha 20.12.2011 - 12:16
2
respuestas

Buscando vulnerabilidades a través de una comparación de código similar. ¿Es un vector de ataque viable?

Considere el siguiente escenario: el atacante escanea (de forma óptima automáticamente) los códigos de código abiertos (por ejemplo, GitHub) en busca de fragmentos de código vulnerables mediante la comprobación de los informes de errores y p...
hecha 14.09.2015 - 23:29
5
respuestas

Efecto de la fuga de código fuente de una suite de seguridad en la seguridad

Me interesa saber qué amenazas presenta, si se filtra el código fuente de una suite de seguridad. Me vino a la mente después de leer las siguientes URL: enlace enlace ¿Cuál sería la amenaza si el código fuente estuviera actualizado...
hecha 04.05.2011 - 14:08
4
respuestas

Auditoría de código fuente y compilaciones falsas

Me pregunto sobre la auditoría del código fuente y qué tan difícil sería falsificar una compilación para ser auditada. Déjame explicarte. Dígame que sería un programador deshonesto que querría instalar una puerta trasera en el sistema que est...
hecha 24.02.2013 - 22:00
3
respuestas

¿cómo un iframe puede causar xsrf?

Sé que una etiqueta de formulario es propensa a CSRF que no usa ningún token (o cualquier otro mecanismo de desafío-respuesta) pero me preguntaba cómo se puede usar un iFrame para causar un ataque XSRF y ¿cuáles serían las técnicas de mitigación...
hecha 21.11.2011 - 13:56
3
respuestas

¿Existen herramientas para detectar llamadas WCF / AJAX basadas en JavaScript?

Me gustaría determinar si un JavaScript determinado contiene la lógica para realizar una llamada AJAX / WCF, o determinar si se está ejecutando uno en tiempo de ejecución. ¿Existe algo como esto?     
hecha 07.12.2010 - 04:55
3
respuestas

¿Hay alguna forma de usar Nuget de forma segura?

Visual Studio ahora incluye un Package Manager que descarga y actualiza paquetes de software desde Internet. El nombre común para esto es "Nuget" El problema que tengo es que cualquier persona puede pretender ser otra persona, por suplantar...
hecha 04.10.2011 - 06:06
1
respuesta

Experimentando con seguridad con sockets

Estoy aprendiendo sobre la programación de socket TCP / IP y (Berkeley / UNIX). Digamos que tengo dos escenarios: 1) Escribo dos programas en C, un cliente y un servidor, y los vinculo a un puerto no muy conocido en el mismo host (Linux), y e...
hecha 20.12.2015 - 20:01
1
respuesta

¿Las pruebas de penetración de blackbox tienen sentido si también sería posible una auditoría de la caja blanca?

Supongamos que soy responsable de una aplicación en mi empresa y decido contratar expertos en seguridad para realizar una auditoría de seguridad. Supongamos además que mi empresa es propietaria del código fuente de la aplicación y se me permite...
hecha 07.10.2011 - 14:24
3
respuestas

¿Qué hay que tener en cuenta en un SLA para garantizar un software seguro al externalizar el desarrollo de software?

Para garantizar un desarrollo seguro en el equipo offshore, ¿cuáles son las consideraciones a tener en cuenta en el SLA? Conseguí esto como referencia: enlace ¿Alguien tiene plantillas y documentos de muestra para consultar?     
hecha 18.01.2012 - 21:03