Публикации по теме 'owasp'


Уязвимости InSecure Design: что это такое и почему они возникают
Введение Безопасная разработка приложения требует больших усилий, и если приложение спроектировано неправильно, это может создать проблемы безопасности, такие как уязвимости, такие как…
Использование контрабанды HTTP-запросов
На реальном примере: Контрабанда HTTP-запросов: Несколько спроектированных HTTP-запросов, в которых задействованные сущности видят разные запросы. Контрабандные запросы на одно устройство без ведома другого устройства; управлять последовательностью запросов / ответов. Пример: В инфраструктуре у нас есть балансировщик нагрузки и веб-сервер, а балансировщик нагрузки отправляет несколько запросов на веб-сервер. Каждый запрос имеет разную длину содержимого. Итак, если так или..
Простое объяснение DNS-записей
Что такое сервер доменных имен / DNS? Из-за наличия DNS-сервера нет необходимости запоминать типичный IP-адрес, поскольку DNS-сервер преобразует это доменное имя в соответствующий IP-адрес. Есть несколько записей DNS, которые необходимо опубликовать только для использования таких сервисов, как электронная почта или что-то в этом роде. Я выполнил nslookup на терминале, чтобы найти IP-адрес google.com, поскольку вы можете видеть, что он занимает домен, а затем с DNS-сервера..
Использование открытого перенаправления на основе DOM
На реальном примере: Открытое перенаправление / перенаправление URL: Непроверенные перенаправления и переадресации возможны, когда веб-приложение принимает ненадежные входные данные, что может привести к тому, что веб-приложение перенаправит запрос на URL-адрес, содержащийся в ненадежных входных данных. · Разница между переадресацией и пересылкой: В ответе на переадресацию код 302, а в заголовке ответа « Местоположение » задан новый URL. Так что в домене редиректа все..

Вопросы по теме 'owasp'

Пример атаки CSRF (подделка межсайтовых запросов) и предотвращение в PHP
У меня есть веб-сайт, на котором люди могут проголосовать так: http://mysite.com/vote/25 Это приведет к голосованию по пункту 25. Я хочу сделать это доступным только для зарегистрированных пользователей, и только если они захотят это сделать....
80551 просмотров
php csrf owasp
schedule 20.11.2021
Как реализовать CSRF Guard в ASP.Net
Мне нужно реализовать защиту CSRF (подделка межсайтовых запросов) в моем коде (asp.net). Хотя у меня есть библиотека от OWASP, реализовать ее сложно, поскольку документации нет. Может ли кто-нибудь предоставить мне более простой способ реализовать...
3237 просмотров
security asp.net csrf owasp
schedule 02.11.2021
OWASP 2010 - пример неправильной конфигурации безопасности
Я работаю с PHP и ТОП-10 OWASP 2010 и нуждаюсь в вашей помощи :) Мне нужен пример использования неправильной конфигурации безопасности , я думаю, мне нужно знать как глючить, тогда я могу знать, как предотвратить. Я пытался найти кое-что через...
997 просмотров
php security owasp
schedule 09.10.2021
Нарушение конфиденциальности Checkmarx
При сканировании кода с помощью checkmarx на наличие уязвимостей безопасности сообщалось о проблеме нарушения конфиденциальности, указывающей на имя переменной. public const string Authentication = "authentication"; Я использую эту...
4420 просмотров
c# owasp checkmarx
schedule 16.10.2021
ZAP неправильно сообщает об уязвимости обхода пути в приложении Angular
Я использую OWASP ZAP как часть автоматизированного процесса CI / CD. Я делаю пауку и активное сканирование. Отчет показал, что есть ошибка обхода пути. Во-первых, это сайт Angular 2, поэтому на сервере ничего не будет обнаружено. Во-вторых,...
1077 просмотров
angular security owasp zap path-traversal
schedule 29.10.2021
Настройка OWASP Zap Spider для вывода цепочки URL-адресов для каждого запроса
Я новичок в тестировании уязвимостей на моей новой работе в разработке сайта EC (мы также запускаем их и продолжаем запускать на AWS EC2). Мне интересно, есть ли способ настроить Spider, чтобы я мог получить вывод «цепочки URL-адресов» для...
380 просмотров
owasp zap
schedule 21.09.2021
Как эффективно анализировать результаты сканирования OWASP ZAP
Как эффективно анализировать результаты сканирования OWASP ZAP После запуска я получаю много URL-адресов, которые не являются уязвимостями. Есть ли способ легко анализировать отчеты?
188 просмотров
owasp zap
schedule 13.09.2021
Как перенаправить запросы на другой хост с помощью ZAP?
Я новичок в ZAP и мало что знаю о его сценариях js / ecma. По сути, я пытался перенаправить запрос на другой хост. Допустим, приложение, подключенное к прокси-серверу ZAP, делает запрос по URL-адресу: http://www.somesite.com/path/to/a/file...
551 просмотров
owasp zap
schedule 07.11.2021
OWSP SQL-инъекция
Я выполняю сканирование безопасности с помощью owasp, которое обнаруживает уязвимость внедрения slq. Когда я запускаю его из своего браузера Firefox, отслеживаемого с помощью owasp из HUD, и выбирая вариант воспроизведения в Borwser, он...
117 просмотров
security websecurity owasp zap sql-injection
schedule 05.09.2021
Защита от SQL-инъекций для динамических запросов
Типичными средствами защиты от уязвимостей SQL-инъекций являются использование переменных связывания (тег cfqueryparam), проверка строковых данных и обращение к хранимым процедурам для фактического уровня SQL. Это все хорошо, и я согласен, однако...
1201 просмотров
owasp coldfusion sql-injection cfquery
schedule 22.02.2022
Ошибка аутентификации при активном сканировании OWASP ZAP с определениями Swagger API
Я пытаюсь выполнить активное сканирование определений приложения Swagger API (OpenAPI) с использованием OWASP ZAP. По сути, мне нужно протестировать конечные точки API приложения с помощью автоматизированного инструмента (кроме ручного, конечно),...
1467 просмотров
api openapi owasp zap
schedule 23.02.2022
Пример работающего OWASP Zap скрипта с аутентифицированным сканированием с использованием API
Может ли кто-нибудь показать сценарий, способный сделать это? Я нашел много инструкций в Интернете и попробовал много разных вещей, но все еще не могу заставить Zap войти на страницу для выполнения полного сканирования. Лучшее, что я получаю,...
1518 просмотров
python owasp zap
schedule 02.03.2022
owasp zap как проверить уязвимости почтового запроса
Я должен проверить, есть ли у моей конечной точки REST POST какие-либо уязвимости. Я впервые использую owasp zap . Если я попытаюсь проверить свою конечную точку, являющуюся REST POST , просто вставив URL-адрес в форму в owasp zap, я получу...
684 просмотров
java spring owasp zap
schedule 01.03.2022
Зачем мне помещать токен CSRF в токен JWT?
Я хочу поставить под сомнение токены JWT и CSRF из Сообщение Stormpath , в котором объясняются преимущества и недостатки хранения JWT либо в localStorage, либо в файлах cookie. [...] если вы считываете значения из файла cookie с помощью JS, это...
3916 просмотров
javascript jwt cookies csrf owasp
schedule 09.03.2022
Встроенный CSS с owasp-java-html-sanitizer
Я работаю над проектом, в котором мы разрешаем пользователям отправлять html/css, и мы создадим PDF-файл из этого кода. У нас есть рабочий код, но я хотел бы очистить входящие данные, чтобы предотвратить любые атаки. Существует метод очистки...
672 просмотров
java owasp
schedule 07.03.2022
Укрепить небезопасное перенаправление, но перенаправляете на себя?
У меня есть проект веб-приложения ASP.NET, который я сканирую с помощью Fortify Source Analyzer v3.1. Веб-проект содержит ASPX, у которого есть случай, когда он перенаправляет на себя. Код: Response.Redirect(Request.Url.ToString());...
1808 просмотров
asp.net owasp fortify
schedule 07.04.2022
Telerik RadTabStrip + Исключение безопасности OWASP
Имейте отягчающую проблему здесь, и любая помощь была бы здоровой. По сути, один из наших клиентов усилил свою безопасность и внедрил OWASP (owasp.org). Теперь некоторые из наших существующих функций сайта возвращают нарушение безопасности при...
203 просмотров
telerik owasp
schedule 16.04.2022
Предотвращение ESAPI XSS для предоставленного пользователем свойства URL
Один из моих REST API ожидает свойство «url», которое ожидает URL-адрес в качестве ввода от пользователя. Я использую ESAPI для предотвращения XSS-атак. Проблема в том, что предоставленный пользователем URL-адрес выглядит примерно так...
9130 просмотров
java encoding xss owasp esapi
schedule 19.04.2022
webgoat не может запускаться с Tomcat 8
У веб-приложения здесь есть jar [/Users/joey/local/apache-tomcat-8.0.23/webapps/webgoat/WEB-INF/lib/webgoat-classloader-6.1.0.jar], который включает класс [открытый класс PluginClassLoader расширяет WebappClassLoader]. Я думаю, что это проблема...
1605 просмотров
java tomcat owasp
schedule 04.05.2022
OWASP ZAP - Извлечь URL-адрес после запуска браузера с использованием Selenium Python
Я запускаю сайт на Selenium Python! При загрузке браузера Chrome к нему подключается прокси-сервер ZAP и захватывает URL. У меня есть две вещи, которые нужно уточнить здесь: Как фиксировать URL / запросы, когда пользователь анализирует разные...
409 просмотров
selenium selenium-chromedriver owasp zap
schedule 02.05.2022