問題タブ [penetration-testing]

私はプロジェクトを持っておりtextview、このオブジェクトには太字と通常のテキストがあります。スタックで、そのようなものを作るのはいいことだとわかりましたHtml.fromHtml()。ただし、誰かが私のアプリケーションを取得し、 に表示されHtml.fromHtmlているコンテンツを呼び出そうとすると、非常に危険な場合があります..

私はあなたに質問を書いています: 使用しても安全Html.fromHtml()ですか? 代わりに何を使用すればよいですか? 私のプロジェクトには textview が 1 つしかなく、これ以上オブジェクトを追加する必要はありません。レイアウトがあり、この 1 つのレイアウトのみを使用する必要があります。

これがSOにとって適切な質問であるかどうかはわかりませんが、わからないのでとにかく先に進みます。

私は現在のプロジェクトでペネトレーションテストツールを調べており、それらのツールをいくつか見つけましたが、最終的にはこれを真剣に受け止め、この種の作業の実行を専門とする専門組織または個人に目を向けることから逃れることはできません。

ツールを探す理由は、完全な侵入テストサイクルを開始する前に、ぶら下がっている果物をピックオフできるようにするためです。これにより、明らかな脆弱性すべてに対処できれば幸いですが、このプロセスがより安価になることも期待されます。

ツールとリソース

• BurpSuite
• IBM AppScan
• nmap.org
• 日東

組織と個人

これらのタスクを実行している組織を評価およびレビューするリソースがそこにあるかどうか疑問に思っていますか？以前に使用して良い結果が得られたことをお勧めできる組織はありますか？

英数字を使用して可能なすべてのパスワードを生成し、出力をファイルに書き込むプログラムを作成したい場合、侵入テストの目的で、そのようなものを作成するのに最適な言語は何ですか?

編集: C、C++、Java、javascript、python、ruby、HTML、CSS、および Objective-C は既に知っています。どの言語がどの問題を解決するのに適しているかを特定するのに苦労しています。

私は現在、drools デシジョン テーブル スプレッドシート形式を使用するビジネス ソリューションの設計を調査しています ( jboss drools ドキュメントへのリンク)。ビジネス ユーザーは、スプレッドシート内のルールを所有して維持します。

デシジョン テーブル形式を使用する主な利点の 1 つは、後でルールを簡単に変更して、さまざまなルール構造に対応できることです。

Drools は、スプレッドシート ベースのルール データをネイティブ ルール形式にコンパイルします。コンパイラの実装例は、ここで見ることができます。

セキュリティ チームからの懸念の 1 つは、ルール スプレッドシート データはユーザー入力であり、悪意のあるデータが含まれていないことを確認するために、すべてのユーザー入力が正しいことを検証する必要があるということです (入力検証の理論的根拠については、こちらを参照してください)。

質問:

1. ビジネス ユーザーが悪意のあるデータをルール スプレッドシートに追加するセキュリティ リスクはありますか?
2. リスクの大きさ/深刻度は? たとえば、コンパイラはユーザーが入力したデータを十分に検証しますか?
3. リスクはどのように軽減できますか？たとえば、ルールを本番環境にデプロイする前に、別の関係者がスプレッドシートでルールを視覚的に検証します。

ネットワークセキュリティとペネトレーションテストの分野に行きたいです。

必要に応じて独自のツールをコーディングできるように、少なくとも 1 つのプログラミング言語を知っておく必要があると誰かに言われました。

私はpythonから始めました。しかし、Pythonは非常に大きいので、Pythonのどの領域をマスターする必要があるかを知りたいです。私を助けることができるモジュール、プラグイン。

Web サイトの下にあるすべてのディレクトリとリンクを見つけるにはどうすればよいですか? ホームページから他のすべてのページへのリンクはないことに注意してください。たとえば、users.company.com のようなドメインがあり、各ユーザーに users.company.com/john、users.company.com/peter などのリンクがあるとします。しかし、そこに何人のユーザーがいるかわかりません。すべてのリンクは何ですか。総当たりですべてのリンクをチェックしたいです。この仕事をするための python スクリプトを書きたい場合、これを python で開発するための情報はどこで入手できますか?

Android エミュレーター 3.1 でネイティブ アプリの HTTPS トラフィックを傍受しようとしています。ただし、ファイル システムには cacerts.bks ファイルがありません。すべての証明書は /system/etc/security/cacerts/ に保存されます。証明書を追加し、プロキシを使用してリクエストをインターセプトする際の助けをいただければ幸いです。

乾杯。

私は、クライアントが Java で、サーバーが C++ で記述されているクライアント サーバー アプリケーションに取り組んでいます。

私の顧客の 1 人が、Think Secure Tool を使用して侵入テストを実行し (正確にどのツールを使用したか不明)、脆弱性 (より適切には弱点) を取得しました。1.Web サーバー プロセスによるメモリ リークと 2.潜在的なバッファ オーバーフロー。

この結果は、アプリケーションが関連するすべてのイベントを表示するために使用する特定のポートに送信されました。

この問題についての手がかりがなく、この問題にアプローチする方法がわかりません。この問題で私を助けることができるアプローチまたは参考資料を教えてください...事前に感謝します

Firefoxの拡張機能としてTamperDataを入手しました。リクエストの呼び出しを傍受して変更するために使いやすい、より優れたソフトウェアはありますか。

WebscrabとParosは半分しか機能せず、良くありません

私はコンピュータのセキュリティを学んでおり、一般的なバッファ オーバーフロー攻撃のリストを見つけようとしていますが、うまくいきません。
侵入テストとバックトラック 5 に metasploit を使用する予定ですが、まだ開始していません。私が大好きな良い光景へのポインタでさえ。ありがとう！