Описание тега websecurity
Ниже перечислены вещи, которые могут быть помечены в этом межсайтовом скриптинге (XSS) Включение локального файла (LFI) Включение удаленного файла (RFI) Удаленное выполнение кода (RCE) Внедрение кода PHP Нарушение протокола HTTP Shellshock
Session Fixation Сканер обнаружение метаданных / утечек ошибок Project Honey Pot Черный список вопросов, связанных с SSL. Ссылка, чтобы узнать больше https://owasp.org/ Некоторые вопросы или определения https://techletterbox.com/2020/02/08/web-security/
1
ответ
Как включить веб-безопасность в Chrome после его отключения?
Я сделал __disable-web-security в терминале на Mac. Нужно ли включить его снова? Или он включается сам после перезагрузки? Если мне нужно включить его снова, как мне это сделать? Я искал везде, но не нашел.
28 янв '19 в 19:06
2
ответа
Отключить ту же самую политику происхождения Internet Explorer
Chrome позволяет нам отключить одну и ту же политику происхождения, чтобы мы могли тестировать перекрестные запросы. Я хотел бы знать, есть ли возможность сделать то же самое в IE
06 янв '14 в 09:59
0
ответов
Использование SSRS в IFrame - это не проблема безопасности?
Я создал отчет, используя Sql Server Reporting Services, и встроил его в простой HTML (фактически приложение CodeIgniter). Отчет принимает параметр и соответственно показывает результаты. Вопрос в том, не будет ли пользователю очень просто просто пр…
14 авг '18 в 06:53
0
ответов
Определите сторону сервера, если клиент уважает атрибут cookie-файла samesite
Есть ли способ узнать на стороне сервера, если клиент соблюдает тот же атрибут сайта установленного cookie? Я спрашиваю конкретно в отношении предотвращения CSRF-атак. Моя гипотеза заключается в том, что если вы можете запретить пользователям входит…
09 окт '18 в 23:23
0
ответов
"Система исчерпала ресурсы" при загрузке Spring с большим количеством цепочек фильтров HttpSecurity
В последние 24 часа я сталкивался со странной проблемой развертывания приложения с загрузочной пружиной, которое до последних изменений работало без проблем. Наконец, мы обнаружили, что всякий раз, когда мы удаляем некоторые из цепочек фильтров Http…
24 янв '19 в 08:49
0
ответов
Как исправить 'java.io.IOException: toDerInputStream отклоняет тип тега 60' при запуске весеннего приложения на localhost:8443
Сначала немного контекста: мы разрабатываем веб-приложение с использованием Java 8 и Springframework. В настоящее время используются две среды (Test, Stage). Это отлично работает. Теперь мы хотели добавить новую среду (Разработка). "Разработка" наст…
30 янв '19 в 13:04
2
ответа
Почему Microsoft Edge отправляет пустой http-referer при вызове метода POST/REDIRECT/GET, если URI запроса и ответа совпадают?
В настоящее время я работаю над проектом Django1.11, я развернул свое приложение, используя nginx со схемой "https". Я хочу отправить форму, но не хочу ее повторять, поэтому я использовал шаблон POST/REDIRECT/GET. Все работает нормально и, как и ожи…
04 фев '19 в 07:19
1
ответ
В чем преимущество валидации размера карты параметров в контроллере веб-приложения по сравнению с веб-безопасностью?
У меня есть веб-приложение (Spring MVC) и проверка входных данных для каждого параметра в контроллере. Что НЕ присутствует, так это проверка принятого размера карты параметров. т.е. когда контроллер ожидает 10 параметров, а запрос имеет 11 или 9. Мн…
30 авг '18 в 08:34
1
ответ
Продукт веб-приложения отображает предупреждение "Небезопасно" в браузерах
Я работаю над продуктом для веб-приложений, который будет распространяться среди нескольких клиентов. Теперь все было в порядке, пока клиенты использовали localhost, но когда они использовали IP-адрес сервера для доступа к странице паролей веб-прило…
21 дек '18 в 05:51
1
ответ
Ошибка удаленной загрузки файлов в NodeJS
Я пытаюсь изучить процесс пентестирования NodeJS. У меня обнаружена уязвимость удаленной загрузки файлов на веб-сайте Nodejs. Могу ли я загрузить удаленную оболочку в NodeJS, как мы это делаем в PHP или ASPX, и выполнить команду? я могу загрузить No…
02 июл '18 в 23:49
1
ответ
ASP.Net: как предотвратить запуск страницы в _PageStart?
В _PageStart.[vb/cs]html как предотвратить запуск запрашиваемой страницы? пример: в _PageStart Вы проверяете роли аутентифицированного пользователя и, если нет в вашей особой роли, отображается сообщение вместо рабочей страницы? мой код в _PageStart…
18 мар '18 в 12:31
1
ответ
Может ли SVG содержать вредоносный контент?
Я не знаю подробностей о стандарте SVG и его расширениях. Но я прочитал, что изображения SVG могут выполнять некоторые сценарии. Безопасно ли отображать любое (загруженное пользователем) изображение SVG на сайте?
29 ноя '17 в 11:59
0
ответов
Определенно манипулировать максимизацией окна в веб-приложении
Я знаю, что этот вопрос может быть воспринят как дубликат, но, поверьте мне, я искал почти всю сеть и не смог найти ответ, который бы подходил под мою заявку. В 90% случаев ответ "нет, вы не можете из-за проблем безопасности. В частности, мое прилож…
31 дек '17 в 14:41
1
ответ
Что такое прекращение атак на ссылку в атрибуте action в HTML-формах?
Я знаю, что название звучит запутанно, поэтому вот что мне интересно: Допустим, у меня есть страница, на которой пользователи могут войти, https://example.com/login, Форма на странице выглядит так: <form method="post" action="https://example.com/…
08 май '18 в 15:33
0
ответов
WebGoat - тестирование SQL-инъекции веб-службы с помощью Webscarab завершается неудачно
Может кто-нибудь, пожалуйста, скажите мне, почему я вижу следующее сообщение об ошибке: при попытке выполнить инъекцию SQL веб-службы WebGoat с помощью Webscarab? Я на Win. Спасибо.
26 мар '18 в 16:44
1
ответ
Предварительный просмотр веб-страницы в прогрессивном веб-приложении?
Могут ли PWA работать в качестве браузеров? Или более технически: позволяет ли концепция PWA отображать предварительный просмотр других веб-страниц, независимо от их параметров X-frame или аналогичных настроек? Я сам в настоящее время не занимаюсь к…
29 май '18 в 09:03
1
ответ
Это хорошая практика, чтобы хранить токены Google в локальном хранилище
Я немного растерялся, прочитав несколько статей, в основном предполагая, что у вас есть веб-приложение, которое использует gmail для аутентификации. Полезно ли хранить токен доступа Google в локальном хранилище и отправлять его через заголовки для п…
19 окт '18 в 06:22
1
ответ
PHP и JavaScript передача переменных и безопасность
Я пытаюсь создать систему уведомлений для моего сайта рецензирования эссе, вот основной поток того, что должно произойти: и вот структуры моих таблиц (MySQL): У меня проблема в том, что я не могу понять, как безопасно обновить статус в таблице отнош…
23 июл '18 в 17:40
0
ответов
Уязвимость Cross-Frame Scripting в WordPress
Я создал веб-сайт с использованием WordPress и выполнил тест веб-уязвимостей, результаты теста показывают, что мой веб-сайт имеет уязвимость Cross-Frame Scripting. Я новичок в веб-безопасности и не знаю, что это такое. Как я могу решить проблему?
11 июн '18 в 06:13
1
ответ
Инъекция заголовка хоста
Я новичок в области безопасности и чтения о внедрении заголовка узла. Я протестировал приложение на наличие этой уязвимости, и там можно было выполнить какой-то запрос, но разработчик внедрил флаги no-cache, no-store, и эта уязвимость отсутствует в …
19 дек '17 в 04:44