Описание тега application-security
Разработка, реализация, оценка уязвимостей и проблемы безопасности на уровне приложений, в отличие от инфраструктуры (например, списки контроля доступа на маршрутизаторах, IDS и т. Д.)
1
ответ
Безопасность, связанная с каталогами
Как вы решаете проблему обхода каталога? Отключить перечисление каталогов в конфигурации Apache или IIS. Поиск замените../ в параметре. Добавьте пустой файл index.html в webroot. Проведите проверку входных данных или используйте токены базы данных д…
26 авг '15 в 05:49
1
ответ
Как применить разрешения безопасности к статическим файлам с ASP.NET MVC?
Я пытаюсь использовать ASP.NET MVC, чтобы иметь веб-приложение, которое будет принимать сведения о родительском элементе и разрешать загрузку и обмен файлами, которые связаны и хранятся под именем родительского элемента. Файлы, которые я хочу защити…
05 июн '17 в 15:05
0
ответов
Какими должны быть проверки безопасности перед утверждением любого программного обеспечения / инструмента / утилиты для покупки и использования?
Есть ли у нас какой-либо контрольный список, который можно использовать для оценки безопасности любого Программного обеспечения / Утилиты / Инструментов / Приложения до того, как он будет одобрен для покупки и использования.
07 мар '18 в 18:21
0
ответов
Слабость заголовка ETag [CVE-2003-1418] - как получить инодную информацию?
У меня есть четкое понимание использования заголовка ETag. Во многих статьях рассказывается о том, как избежать уязвимости утечки информации inode с помощью ETag [CVE-2003-1418]. Я не нашел ни одного источника, который предоставил бы способ получить…
01 дек '18 в 03:56
2
ответа
ZAP Ajax Spider аутентификация не работает с использованием ZEST
Выполните следующие шаги: 1. Запишите сценарий ZEST (проверено на работоспособность) 2. Включите сайт в контекст 3. Добавьте пользователя 4. Выберите принудительного пользователя 5. Загрузите сценарий и выберите аутентификацию на основе сценария 6. …
26 сен '16 в 21:44
1
ответ
Инъекция заголовка хоста
Я новичок в области безопасности и чтения о внедрении заголовка узла. Я протестировал приложение на наличие этой уязвимости, и там можно было выполнить какой-то запрос, но разработчик внедрил флаги no-cache, no-store, и эта уязвимость отсутствует в …
19 дек '17 в 04:44
1
ответ
Применение защиты к странице ввода кода приложения
У нас есть приложение на основе grails-groovy(сейчас версия 1.3.7) с базой данных Oracle 11g. Мы должны подать жалобу OWASP, чтобы продумать все возможные улучшения безопасности / плагины. Основная проблема здесь: у нас есть функция создания шаблона…
16 мар '12 в 20:33
5
ответов
Тестирование безопасности веб-приложений
Мы разрабатываем веб-приложение, используя Spring Framework и Hibernate ORM. Что касается безопасности приложений, мы используем acegi для обеспечения аутентификации и поддержки авторизации. Теперь о санитарии пользовательского ввода, мы постарались…
06 ноя '09 в 16:18
0
ответов
Тесты безопасности для SO(общих объектов) файлов в приложениях Android-приложения для Android VA
Во время оценки безопасности приложений Android я столкнулся с несколькими случаями, когда файлы.so (Shared Objects) присутствуют в каталоге lib. Какие могут быть возможные тесты безопасности для того же? Например: у меня есть один тестовый пример, …
28 сен '17 в 16:19
1
ответ
Рекомендации по безопасности приложений
Недавно я вступил в роль евангелиста безопасности приложений. В рамках своих обязанностей я должен быть в курсе вопросов безопасности. Можете ли вы порекомендовать несколько хороших веб-сайтов, которые предоставляют отраслевые обновления, связанные …
09 авг '16 в 04:50
3
ответа
Безопасность отправки конфиденциальных намерений в моем собственном приложении?
У меня есть действие, которое запрашивает имя пользователя и пароль, а затем запускает другое действие в моем приложении, чтобы завершить регистрацию пользователя. Я хочу отправить имя пользователя + пароль в качестве дополнения ко второму действию.…
10 июн '14 в 12:51
1
ответ
Использование безопасной строки и ее сохранение
Таким образом.NET Framework предоставляет класс SecureString для безопасного хранения строк. Но чтобы прочитать информацию и поработать с ней, вы должны вернуть ее в стандартную строку. Посмотрите этот пример реализации. Как видно из примера с испол…
16 янв '09 в 20:47
1
ответ
LAN-аутентификация приложений и безопасный канал
У меня есть сервер, который аутентифицирует клиентские приложения и позволяет им выполнять или нет. Я хочу иметь безопасный канал между сервером и клиентами. Я написал свой сервер с протоколами ssl и ssh, но я не знаю, какой из них должен использова…
02 июн '16 в 12:28
1
ответ
Инъекция XML внешнего объекта: Hp Fortify проблема в Java 1.6
Я пытался исправить проблему XEE и пробовал другие варианты, но не работает. Было бы здорово, если бы были какие-либо указатели. Ниже мой фрагмент кода.. ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); Source xmlSource = new DOMSou…
26 сен '18 в 13:50
2
ответа
Отсутствует информация о проектах из практики безопасного кодирования OWASP
Когда я нашел Руководство по безопасному кодированию OWASP, я почувствовал, что нашел скрытый драгоценный камень. Информация в формате контрольного списка отличная. Хотя я был разочарован, увидев, что ссылки, указывающие на множество других внешних …
12 янв '17 в 20:25
7
ответов
Хранение имени пользователя / пароля во время обработки
Работая в контексте приложения ASP.NET, я создаю страницу, которая сможет выполнять сценарии базы данных для одной из многих баз данных в нашей среде. Для этого нам нужно запросить у пользователя комбинацию имени пользователя и пароля, это значение …
16 янв '09 в 16:58
4
ответа
Определение комплексной безопасности и разрешений
Я был помещен в проект, который имеет грязный класс, который пишет кнопки на странице. Приложение представляет собой менеджер документов и имеет всплывающий список кнопок, таких как загрузка, электронная почта и печать. В зависимости от роли пользов…
29 июл '11 в 17:49
1
ответ
Как я могу добавить файл в другой файл с именем store.dat в Java?
Все данные должны храниться в одном постоянном имени файла secure_store.dat. Следующая команда должна добавить новые файлы в область Secure Store: put [path_on_OS] [file_name] Как я могу это сделать? Как я могу добавить файл, который на моем компьют…
10 дек '16 в 18:11
1
ответ
Разрешить только Android OS, чтобы открыть активность запуска
В моем приложении для Android есть уязвимость, связанная с тем, что мое приложение может быть открыто вредоносным приложением. Я использую следующий фильтр намерений в Launcher Activity. <intent-filter> <action android:name="android.intent.…
08 авг '17 в 20:36
3
ответа
Yii2 - неизвестное свойство - yii\base\UnknownPropertyException Получение неизвестного свойства: yii\web\Application::security
Привет я установил yii2 и написать приложение. Я использовал Git. Когда я переношу приложение на сервер. Все выглядит хорошо. Но когда я пытаюсь войти, я получаю это сообщение: Unknown Property – yii\base\UnknownPropertyException Получение неизвестн…
08 мар '16 в 06:56