Preguntas con etiqueta 'static-analysis'

2
respuestas

Errores de seguridad en el código Scala

Actualmente estoy leyendo "Software Security: Build Security In" de Gary McGraw, y él hace la distinción entre errores de seguridad y fallas de seguridad. Los errores de seguridad son errores de implementación en el código y fallas en el aspecto...
hecha 12.06.2015 - 21:33
1
respuesta

¿Cómo manejar el código vulnerable de terceros?

Recientemente hemos realizado un análisis estático de nuestra (s) aplicación (es), y hay algunos hallazgos críticos para un código de terceros, es decir, jQuery y swagger UI. ¿Cuáles son las mejores prácticas de seguridad en este caso para mi...
hecha 07.02.2017 - 11:36
0
respuestas

Análisis de corrupción en un lenguaje funcional

Hace poco leí un artículo titulado "Todo lo que siempre quisiste saber sobre el análisis dinámico de la corrupción y la ejecución simbólica directa (pero es posible que tenga miedo de preguntar)" por el Dr. EJ Schwartz. En el documento, habló pr...
hecha 07.11.2016 - 15:04
5
respuestas

¿Por qué las empresas no utilizan simplemente las herramientas de los piratas informáticos para encontrar sus propias vulnerabilidades antes del lanzamiento de su software? [cerrado]

Puede ser una pregunta tonta, pero los piratas informáticos utilizan herramientas disponibles públicamente para encontrar vulnerabilidades. Entonces, ¿por qué las empresas, antes de lanzar sus productos (Windows, Adobe, etc ...), usan las mismas...
hecha 07.04.2015 - 11:10
1
respuesta

¿Cuál es la práctica estándar de la industria para guardar un PDF potencialmente (probablemente) malicioso para su análisis?

He recibido un correo electrónico con un PDF adjunto que tiene muchas señales de ser un archivo adjunto malicioso. Al carecer del tiempo y los recursos para analizarlo en este momento, me gustaría almacenarlo para su uso posterior y posiblemente...
hecha 03.09.2018 - 05:00
3
respuestas

Servidor de seguridad de la aplicación web mediante el análisis del código fuente de la aplicación web

Leí esta página: Categoría: OWASP Mejores prácticas: uso de firewalls de aplicaciones web , y encontré que WAF generalmente no puede detectar ataques lógicos. Sabemos que cada aplicación web tiene una serie de parámetros de entrada. Creo que...
hecha 15.01.2018 - 08:52
1
respuesta

Información sensible representada en una vulnerabilidad de objeto de javascript estático en línea si el usuario guarda la página HTML

Estoy usando un motor de plantillas de representación de javascript con node.js. Estoy procesando información confidencial del usuario en un objeto javascript estático que luego se entrega al cliente. Sin embargo, me di cuenta de que si el usuar...
hecha 09.06.2015 - 20:39
1
respuesta

Vulnerabilidades comunes de JavaScript

¿Alguien puede recomendar una guía de codificación segura para JavaScript? ¿Hay un conjunto de vulnerabilidades comunes que están estrechamente relacionadas con el lenguaje de programación JavaScript? Lo que estoy buscando son vulnerabilidade...
hecha 28.03.2018 - 16:24
1
respuesta

Ayudando a los desarrolladores a encontrar fallas de lógica y autorización

Los evaluadores de penetración profesionales suelen ser buenos para encontrar todo tipo de vulnerabilidades, incluidas fallas lógicas, que son muy específicas del sitio que se está probando. Sin embargo, al ser una actividad manual, las pruebas...
hecha 29.10.2013 - 15:59
1
respuesta

Escaneando un binario contra el diccionario de reglas YARA

He encontrado un binario de malware, que tengo curiosidad por ver qué patrones se han encontrado en este archivo. También tengo una colección de ~ 1000 ioc's y yara-rule's relacionadas con Malwares y RAT's. He utilizado Loki , yara- gui , la...
hecha 28.10.2018 - 09:00