Описание тега secure-coding
Темы, связанные с шаблонами кодирования и передовыми методами избежания распространенных ошибок и дыр в безопасности.
1
ответ
Что такое значение времени ожидания сеанса по умолчанию в Struts?
У меня есть Java-код, который я проверяю на наличие уязвимостей в безопасности. Код разработан с использованием фреймворка Apache Struts. Тайм-аут сеанса не устанавливается в коде. Из того, что я знаю, это указывает на чрезмерную уязвимость тайм-аут…
30 окт '17 в 06:00
1
ответ
Ищете код безопасности IDE
Мне нужна IDE, которая найдет проблемы в моем коде, те, которые я пробовал, просто не делают это достаточно хорошо... Я уже пробовал Eclipse и IntelliJ IDEA. есть ли хороший вариант? Спасибо..
25 янв '17 в 12:16
0
ответов
Как создать раздел администратора для приложения node.js / express.js
Если говорить прямо, я все еще (как мне кажется) относительно новичок в построении в Node/Express/MongoDB/Mongoose, поэтому прошу прощения, если эти вопросы могут показаться глупыми. Поэтому я пытаюсь создать пользовательский раздел администратора д…
10 июн '18 в 19:04
0
ответов
Как я могу защитить от проблем TOCTOU на основе соединений в C#?
Я хотел бы защитить от проблем TOCTOU с переходами в C#. Я обслуживаю файлы из определенных каталогов. Этими каталогами могут быть общие папки SMB/CIFS или локальные диски любой файловой системы (но, скорее всего, NTFS). Учитывая мое понимание пробл…
31 май '13 в 02:29
2
ответа
Использование встроенных функций
Я разрабатываю приложение Windows Form на C#. Я слышал, что не следует использовать встроенные методы и функции в коде, так как хакеры глубоко разбираются в таких встроенных методах и знают, как их потерпеть неудачу. Вместо этого всегда нужно исполь…
20 апр '14 в 09:17
2
ответа
Методы безопасного кодирования C
Я ищу исчерпывающую информацию о методах безопасного кодирования на языке C. Поскольку я не нашел такого списка, существующего здесь, мы могли бы также превратить его в вики сообщества для дальнейшего использования. Я ищу решения для проблем безопас…
24 янв '11 в 10:20
1
ответ
Обучение сборке по соображениям безопасности
С чего начать, если я хочу изучить ассемблер по соображениям безопасности? Я думаю, что если я хочу избежать ошибок, лучше всего знать, что ты делаешь. Что произойдет, если я приведу подписанный int в unsigned int. Как только я получил странное сооб…
05 июл '15 в 18:26
0
ответов
Предупреждения HP Fortify
Я использую HP Fortify SCA из интегрированной сборки ant и получаю сообщения об ошибках / предупреждениях. Я с треском не смог понять, что происходит, и Google не сильно помог. 1) [предупреждение]: следующие ссылки на символы Java не могут быть разр…
02 ноя '16 в 09:39
1
ответ
Linux песочница с C, безопасная?
Я разрабатываю общий honeypot для служб TCP как часть моей дипломной работы. В настоящее время я использую Chroot, пространства имен Linux, безопасные вычисления и возможности для создания своего рода песочницы. Мой вопрос: есть ли какие-то моменты,…
07 июн '18 в 10:20
1
ответ
Принцип наименьшей привилегии
Каков принцип наименьших привилегий в безопасной разработке программного обеспечения? Как это может быть применено в программе смены паролей, где пользователи должны иметь возможность изменять свои собственные пароли, но им не должен предоставляться…
24 июн '17 в 16:04
1
ответ
Как воспользоваться уязвимым кодом Java, если класс не является окончательным, позволяет клонировать и т. д.
Я не знаю, вижу ли я что-то очевидное... Я читал эти рекомендации по безопасному кодированию: http://www.javaworld.com/article/2076837/mobile-java/twelve-rules-for-developing-more-secure-java-code.html если мы не объявим классы или методы как оконча…
01 июн '16 в 00:54
3
ответа
Как я могу безопасно удалить файл?
Существует ли Gem или способ безопасного удаления файла в Ruby? Я хотел бы избежать внешних программ, которые могут отсутствовать в системе. Под "безопасным стиранием" я имею в виду перезапись содержимого файла.
14 дек '11 в 17:24
1
ответ
Установить страницу PHP для использования SSL
Привет, у меня есть приложение php. Я бы хотел, чтобы страница account.php была безопасной, но после добавления на страницу $use_sts = true; // iis sets HTTPS to 'off' for non-SSL requests if ($use_sts && isset($_SERVER['HTTPS']) && …
15 янв '13 в 11:14
0
ответов
В iOS uiwebview вы можете видеть / захватывать то, что печатает пользователь
Я использую UIWebView в своем приложении, чтобы открыть страницу, где пользователь вводит некоторые конфиденциальные данные в поле ввода веб-страницы, которое открывается в веб-представлении. Запросы у меня есть: Безопасен ли UIWebview? Из uiwebview…
16 ноя '18 в 12:43
2
ответа
Методы сериализации Java
Как сайт securecoding объясняет: Цитата В этом примере кода, не соответствующего требованиям, показан класс Ser с закрытым конструктором, указывающий, что внешний по отношению к классу код не может создавать его экземпляры. Класс реализует java.io.S…
08 авг '14 в 10:10
1
ответ
Какова наилучшая в отрасли практика использования Target="_blank" внутри аутентифицированного сайта?
У меня есть аутентифицированный сайт, где внутри сайта я могу отправлять сообщения своим пользователям. Когда я вошел на защищенный сайт, у меня есть интеграция, которая позволяет пользователю перемещаться по сайту на пользовательском портале, а так…
10 ноя '15 в 20:02
1
ответ
Как работает состояние гонки в TOCTOU?
Следующий код должен быть уязвимым для атаки TOCTOU: public Period(final Date start, final Date end) { if (start.compare(end) > 0) { throw new IllegalArgumentException(""); } this.start = start; this.end = end; // Class period has 2 private final…
04 янв '14 в 17:57
3
ответа
Существуют ли какие-либо рекомендации по кодированию для платформы Android, ориентированные на безопасность?
Существуют ли хорошие правила кодирования для платформы Android, ориентированные на безопасность? Спасибо
11 май '11 в 18:39
1
ответ
Безопасность с облачными приложениями и соединениями PHP/LDAP
Я занимаюсь разработкой корпоративного облачного приложения и решаю проблемы безопасности, с которыми я столкнусь при использовании библиотеки PHP LDAP для подключения к сетям клиентов для получения пользовательских объектов. Во-первых, проблема зак…
08 янв '16 в 17:07
1
ответ
Скрытие контента для предотвращения мошенничества в JavaScript-игре
Я знаю, что невозможно полностью запретить пользователям обманывать и / или взламывать веб-приложение, но я обнаружил, что эту дыру так легко обнаружить, что ее действительно нужно подключить. https://mcthompsonatl.github.io/ Я на самом деле ничего …
19 июл '17 в 21:45