Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。
如何缓解 ASP.NET Web 窗体应用程序中 Captcha.aspx 的 HTTP 参数污染漏洞
我们最近使用 Tenable Web 应用程序扫描工具扫描了我们的 Web 应用程序,该工具检测到一个名为 HTTP 参数污染的中型漏洞 该漏洞检测到特定的
我正在开发一个Java应用程序,该应用程序似乎存在会话劫持漏洞。 为了防止这种情况,建议在登录后更改用户的 JSESSIONID。 我的
我正在尝试在我正在更新的 Web 应用程序中实现 OWASP CSRF Guard(用 Java 17 编写,在 tomcat 10.1.25 服务器上运行)。我们一直在使用 ESAPI 库,但由于我们只...
当服务器响应不是 HTML 格式时,是否推荐使用 X-Frame-Options 标头?
我目前正在审核 API,所有端点都以 JSON 格式向我发送响应。 我在 OWASP 网站上看到只有 CSP、Permissions-Policy 和 Referrer-Policy 标头不是
Sonatype OSS 索引分析器请求组件错误报告 javax.net.ssl.SSLHandshakeException:
我在 Jenkins 中使用 dependency-check-cli 版本 6.1.0,在扫描 jar 文件时出现以下错误。 [DependencyCheck] [WARN] 分析 '/JenkinsHome/.jenkins/
我希望提高 OWASP Zap 扫描的准确性和置信度。它正在攻击具有以下示例结构的站点: /api/人//儿童/ 我希望提高 OWASP Zap 扫描的准确性和置信度。它正在攻击具有以下示例结构的站点: <URL>/api/people/<adultName>/children/<childName> 在此示例中,childName 的有效数据显然依赖于 AdultName。使用 OWASP 进行攻击时,生成的唯一 URL 是以下变体: localhost/api/people/adultName/children/childName 如果我可以提供 AdultName/childName 的 ZAP 工作示例,那么它就可以在数据正确时测试场景,即绕过基于 400 的错误代码并测试应用程序的其他部分,这将是理想的选择。 我可以将路径标记为 DDN,但似乎没有办法提供测试数据来配合它。使用登录凭据,您可以提供显式的用户名/密码组合,但奇怪的是我不能使用其他基于 URL 的数据。我错过了什么? 有一种简单的方法可以为 ZAP 提供测试数据,只需通过 ZAP 代理带有该数据的请求:) 如果您拥有 ZAP,您可以通过 ZAP 代理单元测试 - 它们通常是测试数据的良好来源。
我有一个 Jenkins 管道,可以在本地环境中持续构建 Python 应用程序。这是代码: 管道{ 代理任何 阶段{ 阶段('结账'){ 圣...
我开始对项目中的api进行自动化测试, 我想运行安全验证,就像使用 owasp zap 扫描仪完成的那样,但沉浸在我的空手道自动化中。那是...
X-Frame-Options 和不存在的 html 文件上的 OWASP ZAP 误报
我正在使用 OWASP ZAP 来测试我的应用程序是否存在漏洞。 我正在使用登录页面的 URL 进行快速启动攻击。 我正在从 Eclipse 的 Tomcat 上运行该应用程序。 目前...
通过 ZAP 浏览应用程序时,某些服务会响应 CORS 错误或停止正常工作。 如何正确配置ZAP,使ZAP不是源头而是应用程序? 我有
我正在使用 OWASP ZAP api 扫描 (zap-api-scan.py) 脚本使用 swagger 规范文件来扫描我的 api。这非常有效,扫描完成后我会收到一份不错的报告。 怎么...
为什么带有 OWASP-CRS 的 NGINX 无法正确记录警报?
我在记录来自 OWASP-CRS 的警报时遇到问题。 例如我提出请求: https://主机?exec=bin/bash Mod 安全性正确阻止了此请求,但在错误日志中我只有一个警报: 2...
修改 API 响应 OWASP Juice Shop(注册为具有管理员权限的用户)
OWASP Juice Shop 面临注册具有管理员权限的用户的挑战。 为了解决修改 API 响应所需的挑战,我需要将“角色”从客户更改为管理员,我已经看到了
我安装了 zap,但是当我单击应用程序打开它时,它没有打开 在此输入图像描述 我以前下载的网站: 网站 我用于下载参考的视频:video 我关注了...
使用损坏或有风险的加密算法加密算法。不应使用 base64EncodedString
我正在使用 Kiuwan 在我的一个 Swift 库上运行安全代码分析,我遇到了一个标记为高漏洞的问题,该问题准确说明了标题所读的内容,它向我指出了这一部分...
我有一些应用程序,其中一些公开公共端点。 我想知道这些应用程序是否可以免受某些常见类型的攻击(例如 CSRF、XSS、SQL 注入)的影响。 鉴于...
如果innerHTML没有在body上使用append,为什么还要将数据注入到页面中?
我遇到了这个看似安全的从html中提取文本内容的函数 函数 getText(html) { const div = document.createElement('div') div.innerHTML = html 返回div.text内容 } 它
导入请求和 sherlock 时出现 ModuleNotFoundError
当我在 Debian 机器上使用 sherlock 时遇到此错误 回溯(最近一次调用最后一次): 文件“/usr/local/lib/python3.9/runpy.py”,第 197 行,在 _run_module_as_main 中
Owasp Zap 可以用于通过 HTTPS 连接代理所有 http 和 https 流量吗?
我刚刚开始使用 Zap,并成功在 Firefox 和 Chrome 中运行它。 我也想使用它来自动为非 https 站点提供 SSL 证书。 比如说,我想要...
我使用以下命令在 k8s 中将 zap proxy 作为服务运行: 命令:[“zap.sh”] 参数:[“-daemon”、“-port”、“9090”、“-config”、“...