Публикации по теме 'owasp'


Уязвимости загрузки файлов: взгляд разработчика
Введение Загрузка файлов — это хорошо известная уязвимость, которая существует в приложениях, предоставляющих пользователям функцию загрузки файлов. Если эти загруженные файлы не обрабатываются должным образом, это может создать угрозу для приложения, и злоумышленник может использовать эти файлы для загрузки вредоносного скрипта на веб-сервер, который затем может быть использован для компрометации всего веб-сервера. Что такое уязвимости при загрузке файлов? Когда..

Вопросы по теме 'owasp'

Apache Shiro и безопасность Java для новичков
Я почти ничего не знаю о модели безопасности Java, включая конфигурацию XML, настройку политик, любые компоненты инфраструктуры безопасности, инструменты (такие как хранилище ключей и т. д.) и все, что между ними. Хотя я понимаю, что со временем...
2037 просмотров
java security apache owasp shiro
schedule 21.05.2024
Куда идет ESAPI.properties в проекте Java Google AppEngine
Мой проект работает на сервере разработки. Он работает в обоих следующих случаях: С каталогом .esapi в исходном пути, чтобы он попал в WEB-INF/classes С каталогом .esapi в корне библиотеки, чтобы он оказался в WEB-INF/lib Однако он не...
5080 просмотров
java google-app-engine owasp
schedule 01.05.2022
Поиск временных файлов текстового редактора Linux
Я помню, как читал, что редактирование файлов непосредственно на сервере является плохой практикой безопасности, потому что это может создать скрытые временные файлы. Можно ли искать эти файлы? Я думал о find / -name .*, но это возвращает «пути...
742 просмотров
linux security find owasp
schedule 22.04.2024
Расположение файла OWASP ESAPI в проекте Maven (Интернет)
Я пытаюсь использовать библиотеку OWASP ESAPI в своем веб-проекте Maven. Проблема, с которой я столкнулся, заключается в том, что контроллеры не могут найти файл свойств ESAPI. Я пытался поместить их в папку ресурсов, но это не работает. Кажется, я...
1729 просмотров
java maven owasp jakarta-ee esapi
schedule 15.07.2022
Нужно ли включать канонизацию при использовании OWASP ESAPI?
Мы добавляем ESAPI 2.x (библиотека безопасности owasp java) в приложение. Изменение легко, хотя и довольно повторяющееся. Мы добавляем проверки ко всем входным параметрам, чтобы убедиться, что все символы, из которых они состоят, находятся в белом...
2990 просмотров
java security owasp esapi
schedule 26.08.2023
XSS с динамическим вводом HTML
Моя команда устраняет уязвимости в старом приложении jsp. Проблема в том, что это позволяет пользователям (имеющим разрешение) создавать простую домашнюю страницу, помещая свой html в текстовую область и отображая его на странице. Проблема в xss...
516 просмотров
html xss owasp jsp
schedule 27.02.2022
Как уязвимость кэша браузера защищенной страницы делает веб-приложение безопасным?
Я использую инструмент OWASP ZAP для сканирования уязвимостей, он показывает предупреждение об уязвимости «кэш браузера защищенной страницы». Ниже приведены подробности оповещения ZAP: Риск: средний Надежность: предупреждение Описание :...
1719 просмотров
http caching http-headers owasp penetration-testing
schedule 02.08.2023
Как структурировать мое приложение для использования Firebase, Braintree, Ionic/AngularJS и минимального сервера nodejs
Обратитесь к этому вопросу: >Пользовательский интерфейс Braintree Dropin не работает с Ionic Framework без принудительного обновления Мое текущее Ionic/Angular/Firebase + очень простое серверное приложение Node имеет проблему безопасности при...
1339 просмотров
firebase angularjs owasp braintree
schedule 24.10.2022
OWASP ZAP: активный сканер в непрерывной интеграции
Попытка использовать ZAP (2.4.3) в настройке непрерывной интеграции (CI). Я могу запускать ZAP как демон, запускать все мои тесты Selenium (на Java), используя ZAP в качестве прокси, а затем иметь возможность использовать REST api, вызывая...
1685 просмотров
java rest security owasp zap
schedule 14.07.2022
Пассивное сканирование в OWASP ZAP
Я начал изучать OWASP ZAP, и меня смущает пассивное сканирование в OWASP ZAP. Если щелкнуть правой кнопкой мыши узел в дереве сайта, я не вижу никаких опций пассивного сканирования, однако в меню Инструменты | Параметры Я могу видеть правила...
5290 просмотров
owasp zap
schedule 16.05.2024
Ошибка аутентификации Zed Attack Proxy (401) — режим демона
У меня есть локальный веб-сайт, размещенный на IIS, и я пытаюсь сканировать свое приложение с помощью инструмента ZAP, выполняемого в режиме демона. Все работает нормально, пока я не отключу метод «Анонимная аутентификация» из IIS, и единственным...
3576 просмотров
authentication owasp zap
schedule 06.10.2022
Как использовать OWASP ZAP для атаки MiTM на Android?
Я знаю, что я не использовал MiTM в своем приложении для Android, и он может быть уязвим. Я хочу протестировать сценарий, подключив свой телефон Android через прокси (мой ноутбук) и используя любые возможные инструменты для проверки атаки MiTM.
3122 просмотров
android security owasp zap mitmproxy
schedule 06.09.2022
Установка mod_security2.so на Apache 2.4.23 в Windows 7
Я новый техник с настройкой mod_security . Моя проблема в том, что я хочу установить mod_security на Apache 2.4.23 в windows 7 . Исходные файлы: https://www.apachelounge.com/download/ Моя конфигурация в httpd.conf : LoadModule...
9020 просмотров
windows apache owasp mod-security
schedule 05.02.2023
Как получить токен CSRF при запросе авторизации с помощью OWASP ZAP в режиме брутфорса
Я новичок в OWASP ZAP, поэтому мне нужна ваша помощь. У меня есть сайт уязвимости - DVWA. Я пытаюсь работать с токеном (CSRF) брутфорсом. При загрузке страницы у меня есть HTML-форма с логином, паролем и токеном пользователя. Третье поле...
3887 просмотров
csrf owasp zap
schedule 12.11.2023
Задача активного сканирования zap прервана задачей сохранения сеанса
Я пытаюсь автоматизировать задачи zap в моем процессе сборки. Вот что я делаю: беги зап запустить тесты селена беги зап паук запустить Zap ActiveScan сохранить ZAP-сессию запустить проверку предупреждений zap и сообщить об этом конец...
188 просмотров
selenium owasp ant zapproxy
schedule 30.06.2023
Как выполнить OWASP ZAP `Spider` для записанных и экспортированных` Sites` и `Context` через узел
Я записал поток и создал / экспортировал Sites и Context с помощью OWASP ZAP Tool. Теперь мне нужно запустить ZAP SPIDER для записей Sites с Context через NodeJS Я сделал npm install zaproxy теперь мне нужно знать, как я могу...
704 просмотров
owasp zap
schedule 24.04.2022
Сгенерировать подпись API в заголовке запроса из параметров в теле запроса
Я использую OWASP ZAP для тестирования нашего API. У нас есть пара конечных точек POST, которые используют токен API и общий секрет для аутентификации и проверки запроса. Некоторые параметры тела запроса объединяются и хешируются с использованием...
377 просмотров
owasp zap
schedule 26.08.2022
Owasp Zap: сканирование пауков останавливается на 99%
Owasp Zap: сканирование пауков останавливается на 99%. и не доходит до 100% даже после долгого ожидания. Помогите, пожалуйста! Снимок экрана
403 просмотров
owasp zap security-testing
schedule 16.05.2022
Как мы можем использовать VAPT с помощью OWASP ZAP в микросервисах?
Я прошел через OWASP ZAP и обнаружил, что ZAP требует конечной точки веб-приложения. Но все же я попытался предоставить URL-адрес REST API наших микросервисов, но получал ошибку 404. Я думаю, что OWASP ZAP сканирует метод HTTP GET и не разрешает...
527 просмотров
spring-boot owasp penetration-testing security-testing crlf-vulnerability
schedule 07.11.2023
Сценарий аутентификации не выполняется перед запуском активного сканирования или сканирования
Добрый день уважаемое сообщество, У меня проблема со сканером owasp zap. Сводка: сценарий аутентификации не выполняется перед запуском активного сканирования или сканирования. Здесь более подробная информация: Для проверки подлинности контекста...
291 просмотров
owasp zap
schedule 16.04.2023