background preloader

OWASP Developer Guide.

OWASP Developer Guide.
OWASP Developer Guide The OWASP Developer Guide 2014 is a dramatic re-write of one of OWASP's first and most downloaded projects. The focus moves from countermeasures and weaknesses to secure software engineering. Introduction The OWASP Developer Guide is the original OWASP project. It was first published in 2002, when Ajax was only a mote in Microsoft's eye with the new e-mail notification in Outlook Web Access (and only if you used Internet Explorer). The Developer Guide 2014 is a "first principles" book - it's not specific to any one language or framework, as they all borrow ideas and syntax from each other. The major themes in the Developer Guide include: Foundation Architecture Design Build Configure Operate We are re-factoring the original material from the Developer Guide 2.0, released in July 2005, and bring it into the modern world, and focus it tightly on modern web apps that use Ajax and RESTful API, and of course, mobile applications. Intended audience Presentation Project Leader Related:  Tools: Security - Forensics - Pentesting - Ethical Hacking_Programming技术

OWASP Testing Guide v4.0. Guia de seguridad en aplicaciones Web. La fundación Open Web Application Security Project lidera desde 2001 un proyecto libre sin ánimo de lucro orientado a promover la seguridad del software en general y de aplicaciones web en particular, manteniendo para ello varios proyectos e iniciativas. Bajo licencia Creative Commons, genera y distribuye libremente material de alta calidad desarrollado por decenas de profesionales relacionados con el desarrollo y seguridad del software, entre ellos guías, plataformas educativas y herramientas de auditoría, etc. Situadas entre las publicaciones más valoradas en relación al sector de auditorías de seguridad, las guías publicadas por la fundación OWASP se han convertido en un referente en el mundo de la seguridad del desarrollo y evaluación de aplicaciones. En 2008 se editó la versión 3 de la guía, con su traducción al castellano en 2009 en la que participó activamente INTECO. Guía de pruebas OWASP versión 4. • Gestión de Identidades • Control de errores • Criptografía 1. 2. 3. 4. 5. 6. 7.

free-programming-books Sony, Rootkits and Digital Rights Management Gone Too Far - Mark's Blog Last week when I was testing the latest version of RootkitRevealer (RKR) I ran a scan on one of my systems and was shocked to see evidence of a rootkit. Rootkits are cloaking technologies that hide files, Registry keys, and other system objects from diagnostic and security software, and they are usually employed by malware attempting to keep their implementation hidden (see my “Unearthing Rootkits” article from thre June issue of Windows IT Pro Magazine for more information on rootkits). The RKR results window reported a hidden directory, several hidden device drivers, and a hidden application: Given the fact that I’m careful in my surfing habits and only install software from reputable sources I had no idea how I’d picked up a real rootkit, and if it were not for the suspicious names of the listed files I would have suspected RKR to have a bug.

My Blog 随着常数 m 和 n 的变化,参数方程 x = sin(m · t), y = sin(n · t) 将会画出一系列漂亮的曲线。法国物理学家 Jules Antoine Lissajous 曾在 1857 年研究过这类曲线,因此人们把它叫做 Lissajous 曲线。我在 reddit 上看到了一个 Lissajous 曲线的动画演示,觉得看起来确实非常爽;但那个动画里没有解释曲线的生成方法,很多细节也有让人不太满意的地方,于是决定自己制作一个。 2016 年 7 月 30 日至 8 月 7 日,第 39 届欧洲杂耍大会(European Juggling Convention)在荷兰的阿尔梅勒举行, 8 月 3 日凌晨的搏击之夜(Fight Night)自然再度成为了众人关注的焦点——它是杂耍斗(combat juggling)这项运动最大的赛事。 杂耍斗是一种两人对战类的体育运动。 典型的一局比赛大致就像下面这样。 Read more… 下面这个趣题出自 Using your Head is Permitted 谜题站 2016 年 8 月的题目,稍有改动。 屋子里有若干个人,任意两个人都有恰好 1 个共同的朋友。 除了上图展示的情况之外,我们还能构造出很多别的同样满足要求的情况。 Read more… 无穷多个相同大小的正方形格子排成一排,向左右两边无限地延伸。 选择某个格子,保证该格子内至少含有 1 个原子。 初始时,某个格子里有 1 个原子。 Read more… 2016 年 IMO 的第 6 题(也就是第二天比赛的第 3 题)非常有趣,这恐怕算得上是近十年来 IMO 的所有题目中最有趣的题目之一。 证明:当 n 为奇数时, Geoff 一定有办法实现他的要求。

Pragmatic Architecture: Security Ted Neward December 2006 Applies to: .NET Framework Summary: No other topic has so influenced and embroiled our industry as has the subject of security. Not to say that this influence has always been positive. Contents IntroductionSecure Enough Know What You Are Trying to ProtectKnow How You Are Going to Protect ItThe AnswerConclusion I mill with the rest of the group, enjoying the cocktails and free beer. "No way." I can't help myself. His smile grows large and oily. I take his card and think to myself, "What a jerk." "The most important thing is to find out what is the most important thing." –Shinryu Suzuki "Security is a process, not a product." –Bruce Schneier, Secrets and Lies: Digital Security in a Networked World Introduction No other topic has so influenced and embroiled our industry as has the subject of security. And yet, nobody seems to really address the heart of the issue, which is, simply put, "How do we avoid being the subject of one of those horror stories? Secure Enough Ouch.

Insecure.Org - Tools & Hacking resources free programming books Reverse Engineering de Código Cifrado En ocasiones cuando te pones a intentar analizar un fichero sospechoso de ser Malware, es posible hacerse una idea de lo que hace simplemente observando el contenido del binario. Otras veces el Malware se encuentra cifrado, por lo que únicamente podremos ver el contenido de la rutina de descifrado. Sin embargo, cualquier software que se cifra y se tiene que descifrar automáticamente sin intervención humana es necesario que almacene hardcodeada la contraseña de descifrado (o se la descargue de Internet, o por algún otro medio), así que para saber que hace este tipo de malware podemos optar por buscar la contraseña de descifrado en la rutina, o bien optar por dejar que el propio malware descifre el código y analizarlo en memoria. Lo primero es dejar que el malware se ejecute libremente, controlando con una traza de red o monitorización del equipo que su ejecución haya llegado al punto que queremos (en este caso mandar una conexión POST /forum.php).

High Scalability - High Scalability

Related:  Security