1回答
安全代码审查
、、、
对于由无法修补的遗留服务器版本承载的应用程序,定期以安全为中心的应用程序代码评审是否能够防止应用程序潜在的可利用漏洞?应用程序安全代码检查可以替换非可修补服务器吗?假设与应用程序中的敏感数据相关的代码。代码评审不能替换、修补或解决所有漏洞,但它可以减少一些由糟糕的编码实践造成的风险。如果遗留服务器不是可修补的,那么以安全为中心的代码评审是否至少可以解决一些源于糟糕的编码实践的漏洞呢?
浏览 0提问于2016-08-30得票数 1
在salesforce中,我们有一个场景,在lead对象的触发器上,我们正在更新活动的一些记录。但代表我们正在运行触发器的用户没有对活动的编辑权限。此外,我们已经申请了安全审查并进行了更改,并添加了对对象isUpdatable()的检查,之后,由于对isUpdatable()返回false的检查,我们无法更新活动。我的问题是,我们可以在不应用isUpdatable()检查的情况下通过安全审查吗?如果我们的流程具有代表对活动/机会没有权限的用户
浏览 27提问于2020-02-07得票数 0
1回答
在我们的安全审查中,我们需要了解如何在SSMS应用程序中设置非活动超时。SSMS和Server之间不是会话超时,而是GUI的非活动超时和锁定屏幕(如果有)。如果没有,我需要一个解释,我可以给我们的安全人员,他们会接受,最好包括一个URL的功能。任何帮助都将不胜感激。
浏览 0提问于2019-05-13得票数 -2
1回答
渗透测试与安全源代码审查
、、、
我提出了以下与渗透测试和独立的第三方安全源代码审查有关的问题:哪些独立的第三方安全源代码审查涵盖了渗透测试没有的,反之亦然?
浏览 0提问于2018-03-30得票数 1
回答已采纳
假设你正在采取必要的步骤来防止XSS,比如输入验证和输入过滤,而且你对XSS非常小心,所以你每天都会进行代码审查,检查恶意代码;在这种情况下,将JWT令牌存储在浏览器本地存储中会比将其存储在cookie或仅限http的cookie中更安全吗?该应用程序在用户处于不活动状态1小时后自动注销用户。您可以将令牌作为全局状态提供。
经过身份验证的用户的访问令牌只将他们保存在站点的授权部分,他们不能使用它从后端检索任何东西。注意:如果您没有通过每日代码审查来阻止XSS,那么应用程
浏览 0提问于2021-07-11得票数 0
1回答
iOS应用程序的公证评审过程
、、、、
我正在查看WWDC-2018 (面向开发者的平台状态活动)。苹果公司概述了对Mojave和iOS 12的一系列新的保护措施。其中一个要点是在发布Mac应用程序之前,公证审查它的,这样用户就可以知道它是安全的,免受恶意软件的攻击等等。
iOS企业应用程序也是一样的吗?在将iOS应用分发给客户之前,我们是否需要对其进行审查?
浏览 5提问于2018-06-13得票数 1
回答已采纳
据我所知,oauth2不签署请求,并依赖于传输层的安全性(通过https)。这似乎容易受到重放攻击和ssl代理攻击,在这些攻击中,证书未经过验证(这在客户端应用程序中似乎很常见)。从这个意义上说,它似乎不像HMAC-sha256或类似的东西那样安全。这对于一些应用程序来说可能是很好的,但对于移动大量资金的应用程序来说,这似乎并不够安全。我的理解是正确的吗?
浏览 1提问于2012-08-05得票数 1
回答已采纳
我使用setDeviceCredentialAllowed(true)实现了新的生物特征库,如所示
在这个库中有一个活动被使用"DeviceCredentialHandlerActivity",这个活动在清单中有正如许多人应该知道的那样,如果可能的话,应该避免出口活动,以进行安全审查。
浏览 2提问于2020-02-03得票数 8
假设我负责公司的一个应用程序,我决定雇用安全专家来执行安全审核。让我们进一步假设我的公司拥有应用程序的源代码,并且允许我将其交给雇用的专家。
有什么好的理由比安全源代码审查更喜欢黑盒渗透测试吗?在我看来,源代码审核比黑盒渗透测试更快、更有效地识别关键漏洞。为什么我要让安全专家在黑暗中锤击我的应用程序,因为我可以向他提供内部信息,如系统配置和源代码,以帮助他更好地指导他的工作。为了避免混淆--当我谈到安全源代码
浏览 0提问于2011-10-07得票数 7
回答已采纳
3回答
这可能导致我们的代码中存在严重的安全缺陷,甚至在“逻辑级别”。这个问题是基于完成手动安全代码检查--注意什么?的--我是同一个人,但我不能再访问以前基于cookie的会话了。
浏览 0提问于2010-12-02得票数 10
回答已采纳
我刚在drupal.org站点这句话上读到:
没有经过审查的角色的用户不能成为选择安全覆盖的项目的唯一维护者或项目维护者,就像没有经过审查的用户不能接管选择安全覆盖的项目一样。有人知道在drupal.org中审查角色意味着什么吗?
浏览 0提问于2020-09-23得票数 3
回答已采纳
2回答
我需要对一个巨大的Swift应用程序执行安全代码检查。我以前做过许多移动渗透测试和一些代码回顾,但从未在iOS Swift应用程序上进行过。我主要是寻找资料和参考资料,以帮助我回答以下两个问题:使用源代码的静态或动态分析自动化源代码审查的好方法是什么?
浏览 0提问于2016-07-07得票数 1
2回答
然而,我认为,如果我定期检查保存的登录或过去的登录,我将看到不寻常的活动。那么我就可以假设我的帐户没有被盗用。我说错了吗?
攻击者如何绕过这一机制?
浏览 0提问于2016-07-09得票数 -2
回答已采纳
6回答
能否向用户证明,网站背后运行的代码与安全相关代码与发布的代码相同?
我目前正在研究一些新的项目想法,其中之一涉及到安全通信。我想使它的开源,以便审查-可由用户,更重要的是,安全专家。这可能会成功地证明所提供的代码是安全的,但是如何确保用户确实在网站上运行这些经过审查的代码呢?我曾经想过提供一种与安全相关的文件的哈希,并将其打印出来,但是该哈希可以很容易地被静态打印出来,因此无法提供
浏览 0提问于2012-12-29得票数 9
我正在更改我们的冲刺板,以便有一个代码审查专栏。目前,我们请求从visual studio中的任务中进行代码审查。这将使任务在板上处于活动状态,并且创建了一个新的代码审查工作项,但仅显示在tfs的工作项backlog部分中。有没有一种方法可以在请求时将任务状态更改为代码审查?并在新的代码评审列中自动显示创建的代码评审请求? 因此,被请求者可以看到他们在黑板上请求了代码审查<
浏览 20提问于2020-01-09得票数 1
回答已采纳
这一切都很好,但审查搁置往往主导了我的列表的搁置,因此很难找到一个“真正的”搁置。在评审完成后删除搁置集,似乎很糟糕,因为它与链接到最终更改集的评审链接在一起。,所以我的问题是,是否有一种方法来隐藏这些审查搁置?
浏览 2提问于2016-12-28得票数 3
回答已采纳
4回答
代码评审策略
、、
根据我的信息,没有硬和快速的规则进行安全代码审查,但我们都制定了自己的战略,为同样的。我想知道我们是否都能共享安全代码评审中涉及或使用的不同策略。
浏览 0提问于2011-04-20得票数 10
回答已采纳
由于在iOS上,它被限制为只能启动外部进程(在本例中是编译器),是否可以使用clang通过API将c/c++源代码编译为共享库来绕过这个限制?有什么例子吗?
浏览 0提问于2013-11-29得票数 1
我的Odoo版本是12,错误出现在“电子邮件营销”模块中,当我删除“我的邮件”过滤器时,我已经检查了在“设置/技术/安全/访问规则”中为此对象创建的所有注册规则,并且没有对我的系统进行验证,其中排除了用户没有查看其他用户的活动的权限除了注册规则之外,我还需要知道我还可以审查哪些内容。
提前感谢您的建议。
浏览 2提问于2020-11-20得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
