Публикации по теме 'owasp'
Уязвимости загрузки файлов: взгляд разработчика
Введение
Загрузка файлов — это хорошо известная уязвимость, которая существует в приложениях, предоставляющих пользователям функцию загрузки файлов. Если эти загруженные файлы не обрабатываются должным образом, это может создать угрозу для приложения, и злоумышленник может использовать эти файлы для загрузки вредоносного скрипта на веб-сервер, который затем может быть использован для компрометации всего веб-сервера.
Что такое уязвимости при загрузке файлов?
Когда..
Вопросы по теме 'owasp'
Apache Shiro и безопасность Java для новичков
Я почти ничего не знаю о модели безопасности Java, включая конфигурацию XML, настройку политик, любые компоненты инфраструктуры безопасности, инструменты (такие как хранилище ключей и т. д.) и все, что между ними.
Хотя я понимаю, что со временем...
2037 просмотров
schedule
21.05.2024
Куда идет ESAPI.properties в проекте Java Google AppEngine
Мой проект работает на сервере разработки. Он работает в обоих следующих случаях:
С каталогом .esapi в исходном пути, чтобы он попал в WEB-INF/classes
С каталогом .esapi в корне библиотеки, чтобы он оказался в WEB-INF/lib
Однако он не...
5080 просмотров
schedule
01.05.2022
Поиск временных файлов текстового редактора Linux
Я помню, как читал, что редактирование файлов непосредственно на сервере является плохой практикой безопасности, потому что это может создать скрытые временные файлы. Можно ли искать эти файлы? Я думал о find / -name .*, но это возвращает «пути...
742 просмотров
schedule
22.04.2024
Расположение файла OWASP ESAPI в проекте Maven (Интернет)
Я пытаюсь использовать библиотеку OWASP ESAPI в своем веб-проекте Maven. Проблема, с которой я столкнулся, заключается в том, что контроллеры не могут найти файл свойств ESAPI.
Я пытался поместить их в папку ресурсов, но это не работает. Кажется, я...
1729 просмотров
schedule
15.07.2022
Нужно ли включать канонизацию при использовании OWASP ESAPI?
Мы добавляем ESAPI 2.x (библиотека безопасности owasp java) в приложение.
Изменение легко, хотя и довольно повторяющееся. Мы добавляем проверки ко всем входным параметрам, чтобы убедиться, что все символы, из которых они состоят, находятся в белом...
2990 просмотров
schedule
26.08.2023
XSS с динамическим вводом HTML
Моя команда устраняет уязвимости в старом приложении jsp. Проблема в том, что это позволяет пользователям (имеющим разрешение) создавать простую домашнюю страницу, помещая свой html в текстовую область и отображая его на странице. Проблема в xss...
516 просмотров
schedule
27.02.2022
Как уязвимость кэша браузера защищенной страницы делает веб-приложение безопасным?
Я использую инструмент OWASP ZAP для сканирования уязвимостей, он показывает предупреждение об уязвимости «кэш браузера защищенной страницы». Ниже приведены подробности оповещения ZAP:
Риск: средний Надежность: предупреждение
Описание :...
1719 просмотров
schedule
02.08.2023
Как структурировать мое приложение для использования Firebase, Braintree, Ionic/AngularJS и минимального сервера nodejs
Обратитесь к этому вопросу: >Пользовательский интерфейс Braintree Dropin не работает с Ionic Framework без принудительного обновления
Мое текущее Ionic/Angular/Firebase + очень простое серверное приложение Node имеет проблему безопасности при...
1339 просмотров
schedule
24.10.2022
OWASP ZAP: активный сканер в непрерывной интеграции
Попытка использовать ZAP (2.4.3) в настройке непрерывной интеграции (CI). Я могу запускать ZAP как демон, запускать все мои тесты Selenium (на Java), используя ZAP в качестве прокси, а затем иметь возможность использовать REST api, вызывая...
1685 просмотров
schedule
14.07.2022
Пассивное сканирование в OWASP ZAP
Я начал изучать OWASP ZAP, и меня смущает пассивное сканирование в OWASP ZAP.
Если щелкнуть правой кнопкой мыши узел в дереве сайта, я не вижу никаких опций пассивного сканирования, однако в меню Инструменты | Параметры Я могу видеть правила...
5290 просмотров
schedule
16.05.2024
Ошибка аутентификации Zed Attack Proxy (401) — режим демона
У меня есть локальный веб-сайт, размещенный на IIS, и я пытаюсь сканировать свое приложение с помощью инструмента ZAP, выполняемого в режиме демона. Все работает нормально, пока я не отключу метод «Анонимная аутентификация» из IIS, и единственным...
3576 просмотров
schedule
06.10.2022
Как использовать OWASP ZAP для атаки MiTM на Android?
Я знаю, что я не использовал MiTM в своем приложении для Android, и он может быть уязвим. Я хочу протестировать сценарий, подключив свой телефон Android через прокси (мой ноутбук) и используя любые возможные инструменты для проверки атаки MiTM.
3122 просмотров
schedule
06.09.2022
Установка mod_security2.so на Apache 2.4.23 в Windows 7
Я новый техник с настройкой mod_security .
Моя проблема в том, что я хочу установить mod_security на Apache 2.4.23 в windows 7 .
Исходные файлы: https://www.apachelounge.com/download/
Моя конфигурация в httpd.conf :
LoadModule...
9020 просмотров
schedule
05.02.2023
Как получить токен CSRF при запросе авторизации с помощью OWASP ZAP в режиме брутфорса
Я новичок в OWASP ZAP, поэтому мне нужна ваша помощь.
У меня есть сайт уязвимости - DVWA. Я пытаюсь работать с токеном (CSRF) брутфорсом.
При загрузке страницы у меня есть HTML-форма с логином, паролем и токеном пользователя. Третье поле...
3887 просмотров
schedule
12.11.2023
Задача активного сканирования zap прервана задачей сохранения сеанса
Я пытаюсь автоматизировать задачи zap в моем процессе сборки. Вот что я делаю:
беги зап
запустить тесты селена
беги зап паук
запустить Zap ActiveScan
сохранить ZAP-сессию
запустить проверку предупреждений zap и сообщить об этом
конец...
188 просмотров
schedule
30.06.2023
Как выполнить OWASP ZAP `Spider` для записанных и экспортированных` Sites` и `Context` через узел
Я записал поток и создал / экспортировал Sites и Context с помощью OWASP ZAP Tool. Теперь мне нужно запустить ZAP SPIDER для записей Sites с Context через NodeJS
Я сделал npm install zaproxy
теперь мне нужно знать, как я могу...
704 просмотров
schedule
24.04.2022
Сгенерировать подпись API в заголовке запроса из параметров в теле запроса
Я использую OWASP ZAP для тестирования нашего API. У нас есть пара конечных точек POST, которые используют токен API и общий секрет для аутентификации и проверки запроса.
Некоторые параметры тела запроса объединяются и хешируются с использованием...
377 просмотров
schedule
26.08.2022
Owasp Zap: сканирование пауков останавливается на 99%
Owasp Zap: сканирование пауков останавливается на 99%. и не доходит до 100% даже после долгого ожидания. Помогите, пожалуйста! Снимок экрана
403 просмотров
schedule
16.05.2022
Как мы можем использовать VAPT с помощью OWASP ZAP в микросервисах?
Я прошел через OWASP ZAP и обнаружил, что ZAP требует конечной точки веб-приложения. Но все же я попытался предоставить URL-адрес REST API наших микросервисов, но получал ошибку 404. Я думаю, что OWASP ZAP сканирует метод HTTP GET и не разрешает...
527 просмотров
schedule
07.11.2023
Сценарий аутентификации не выполняется перед запуском активного сканирования или сканирования
Добрый день уважаемое сообщество,
У меня проблема со сканером owasp zap. Сводка: сценарий аутентификации не выполняется перед запуском активного сканирования или сканирования.
Здесь более подробная информация: Для проверки подлинности контекста...
291 просмотров
schedule
16.04.2023