Описание тега owasp
Open Web Application Security Project (OWASP) - это организация, которая хочет информировать людей о безопасности приложений.
0
ответов
Почему плагин OWASP Dependency-Check не находит ничего?
В конвейере я запускаю две базовые команды, которые генерируют и публикуют отчет в репо. Но проблема в том, что в результатах 0 побед Команды в Дженкинс: dependencyCheckAnalyzer datadir: '', hintsFile: '', includeCsvReports: false, includeHtmlReport…
23 мар '18 в 09:44
0
ответов
RangeError при реализации JavaScript CSRFGuard с EJS
Конфигурация в бэкенде для csrfguard успешно завершена. Токен генерирует (это модифицированный javascript и он правильный): /** update nodes in DOM after load **/ addEvent(window,'unload',EventCache.flush); addEvent(window,'load', function() { injec…
07 сен '17 в 13:11
0
ответов
OWASP ZAP - неправильный порядок вызова NTLM - Непоследовательное ответное сообщение NTLM
Мне нужна помощь с настройкой аутентификации NTLM. В настоящее время я тестирую веб-приложение AJAX с использованием OWASP ZAP. Приложение доступно через HTTPS и имеет включенную аутентификацию NTLM. Когда я запускаю сканирование, ZAP не сохраняет п…
17 июл '18 в 13:08
1
ответ
ZAP, похоже, неправильно сообщает об уязвимости обхода пути в приложении Angular
Я использую OWASP ZAP как часть автоматизированного процесса CI/CD. Я делаю паук и активное сканирование. Отчет показал, что существует ошибка обхода пути. Во-первых, это сайт Angular 2, поэтому на сервере ничего не будет обнаружено. Во-вторых, когд…
05 июл '17 в 16:44
0
ответов
Как я могу убедиться, что каждый новый проект по умолчанию включает SafeNuget?
SafeNuget (проект OWASP) проверяет проект.NET на наличие уязвимых пакетов Nuget из этого источника на github. Существует неправильное представление о том, что поскольку пакет имеет старую дату, он, следовательно, содержит устаревшие подписи пакета.…
14 янв '17 в 20:58
1
ответ
Зачем открывать URL-адреса перенаправления?
Я прошел через 10 лучших OWASP, чтобы глубже понять каждый конкретный тип уязвимости. Я пробился к последнему пункту, "Непроверенные перенаправления URL". Я понимаю атаку; такая схема фишинга кажется совершенно очевидной сейчас, когда я прочитал об …
10 авг '10 в 01:35
1
ответ
Разве вывод на экран недостаточен для предотвращения межсайтового скриптинга внедрения ссылок?
Я новичок в решении проблем межсайтового скриптинга. У нас есть около 404 страниц, которые выводят не найденный URL, где, как я узнал, javascript может быть злонамеренно заменен. Чтобы предотвратить атаку XSS, достаточно ли просто удалить вывод неве…
27 июл '12 в 19:41
2
ответа
Нужно ли устанавливать X-Frame-Options для страниц 404 Not Found
В листе защиты от Clickjacking OWASP рекомендует установить заголовок X-Frame-Options для всех ответов, содержащих содержимое HTML, но я не уверен, нужно ли устанавливать этот заголовок также для страниц 404 Not Found, которые содержат только это со…
12 сен '16 в 07:37
1
ответ
Брандмауэр веб-приложения Java EE
Я ищу хороший брандмауэр веб-приложения на основе правил (WAF), который можно использовать с моим веб-приложением Java EE (WAR). До сих пор я отыскивал Stinger из OWASP и ModSec (для Java). Stinger новее, но не считается полноценным WAF, и я только …
02 июл '12 в 18:20
2
ответа
Аутентифицировать устройство / пользователя на основе одного запроса URL
В настоящее время у нас есть система J2EE, реализующая большинство из 10 лучших мер безопасности OWASP, в настоящее время приложение позволяет пользователям входить в систему с комбинацией пользователя и пароля, которая хранится в базе данных. У мен…
10 авг '11 в 14:20
2
ответа
Фиктивное веб-приложение для тестирования на проникновение
Я ищу веб-приложения, в которых я могу попробовать свои навыки пентестинга для своей диссертации. Может быть, OWASP предлагает что-то, но я не могу их найти. У кого-нибудь есть идея?
04 май '15 в 08:35
1
ответ
Понимание клевов и кодирования с помощью инструмента owasp EnDe?
Я использую веб-инструмент owasp EnDe для понимания клевов и кодирования в целом. Я тестирую образец ввода, который abcd, Теперь результаты его кодирования на основе первого куска и второго куска даны как 36,1,36,2,36,3,36,4,37,7,37,8,37,9,37,A а та…
27 фев '13 в 09:07
6
ответов
Может ли локальное хранилище считаться безопасным?
Мне необходимо разработать веб-приложение, которое будет работать в автономном режиме в течение длительного времени. Для того, чтобы это было жизнеспособным, я не могу избежать сохранения конфиденциальных данных (личных данных, но не тех данных, кот…
24 июн '13 в 16:29
0
ответов
Является ли размещение контента обязательным для всех Ответов API согласно OWASP
Требование 11.6 OWASP гласит, что все ответы API должны иметь заголовок размещения контента с соответствующим именем файла для типа контента. Это хорошо для ответов с вложениями, но как насчет случаев, когда ответы API не имеют дело с вложениями. До…
29 янв '19 в 11:43
0
ответов
Докер OWASP ZAP возвращает сообщение "Отказано в соединении" при активном сканировании
Я пытаюсь настроить OWASP ZAP для локального запуска, используя предоставленный образ докера. docker run --name zap -u zap \ -p 8090:8090 -v "$(pwd)/reports":/zap/reports/:rw \ -i owasp/zap2docker-stable zap.sh -daemon -port 8090 -host 0.0.0.0 \ -co…
07 фев '19 в 14:27
0
ответов
DependencyCheck: Не удалось выполнить анализ NSP, v3.0.1 не работает с NodeJS?
Использование OWASP Dependency-Check Plugin v3.0.1 Я добавляю stage("Dependency Check") { dependencyCheckAnalyzer datadir: 'dependency-check-data', isFailOnErrorDisabled: true, hintsFile: '', includeCsvReports: false, includeHtmlReports: false, incl…
09 ноя '17 в 10:43
1
ответ
Закрытие тега парсера
Я использую Антисами для проверки HTML. Моя политика разрешает использование фреймов, таких как видео на YouTube. Проблема в том, что если тег пуст (как это): <iframe src="//www.youtube.com/embed/uswzriFIf_k?feature=player_detailpage" allowfullsc…
13 окт '13 в 08:00
5
ответов
Ruby on Rails и безопасность
Кто-нибудь сталкивался с какими-нибудь хорошими презентациями Powerpoint о том, как безопасно разработать веб-приложение на Ruby?
19 апр '09 в 00:36
2
ответа
OWASP AppSensor: отправка событий не вызывает ответы
Я запускаю AppSensor согласно инструкциям на https://github.com/jtmelton/appsensor/blob/master/sample-apps/DemoSetup.md. Все выглядит красиво, когда я запускаю генератор данных клиента. Я добавляю события из http://localhost:8085/api/v1.0/events из …
08 май '17 в 20:33
1
ответ
Как я могу проверить хэш-карту с помощью esapi?
Для этого кода: HashMap temphashMap = session.getAttribute("abc"); Как я могу проверить хэш-карту на предмет уязвимости межсайтового скриптинга с помощью ESAPI?
02 фев '16 в 09:07