owasp 相关问题

Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。

排除某些特定 URL 的 CRS 规则

我是 OWASP ModSecurity 的新手,我想知道如何排除某些 URL 的某些特定规则。 我搜索过并发现我应该将它们排除在 modsecurity.conf 文件中......

回答 1 投票 0

使用参数__ID__可以进行SQL注入

我正在使用 ZAP 对 Nextjs 14 Web 应用程序执行扫描,但遇到了以下安全问题: 场地 细节 风险等级 高的 漏洞 SQL注入-SQLite 描述 SQL注入...

回答 1 投票 0

如何缓解 ASP.NET Web 窗体应用程序中 Captcha.aspx 的 HTTP 参数污染漏洞

我们最近使用 Tenable Web 应用程序扫描工具扫描了我们的 Web 应用程序,该工具检测到一个名为 HTTP 参数污染的中型漏洞 该漏洞检测到特定的

回答 1 投票 0

Struts 2 中的会话劫持预防

我正在开发一个Java应用程序,该应用程序似乎存在会话劫持漏洞。 为了防止这种情况,建议在登录后更改用户的 JSESSIONID。 我的

回答 1 投票 0

使用 OWASP CSRF Guard 时的空白页和响应

我正在尝试在我正在更新的 Web 应用程序中实现 OWASP CSRF Guard(用 Java 17 编写,在 tomcat 10.1.25 服务器上运行)。我们一直在使用 ESAPI 库,但由于我们只...

回答 1 投票 0

当服务器响应不是 HTML 格式时,是否推荐使用 X-Frame-Options 标头?

我目前正在审核 API,所有端点都以 JSON 格式向我发送响应。 我在 OWASP 网站上看到只有 CSP、Permissions-Policy 和 Referrer-Policy 标头不是

回答 1 投票 0

Sonatype OSS 索引分析器请求组件错误报告 javax.net.ssl.SSLHandshakeException:

我在 Jenkins 中使用 dependency-check-cli 版本 6.1.0,在扫描 jar 文件时出现以下错误。 [DependencyCheck] [WARN] 分析 '/JenkinsHome/.jenkins/

回答 3 投票 0

提供OWASP测试数据

我希望提高 OWASP Zap 扫描的准确性和置信度。它正在攻击具有以下示例结构的站点: /api/人//儿童/ 我希望提高 OWASP Zap 扫描的准确性和置信度。它正在攻击具有以下示例结构的站点: <URL>/api/people/<adultName>/children/<childName> 在此示例中,childName 的有效数据显然依赖于 AdultName。使用 OWASP 进行攻击时,生成的唯一 URL 是以下变体: localhost/api/people/adultName/children/childName 如果我可以提供 AdultName/childName 的 ZAP 工作示例,那么它就可以在数据正确时测试场景,即绕过基于 400 的错误代码并测试应用程序的其他部分,这将是理想的选择。 我可以将路径标记为 DDN,但似乎没有办法提供测试数据来配合它。使用登录凭据,您可以提供显式的用户名/密码组合,但奇怪的是我不能使用其他基于 URL 的数据。我错过了什么? 有一种简单的方法可以为 ZAP 提供测试数据,只需通过 ZAP 代理带有该数据的请求:) 如果您拥有 ZAP,您可以通过 ZAP 代理单元测试 - 它们通常是测试数据的良好来源。

回答 1 投票 0

使用 OWASP ZAP 的 Jenkins 管道

我有一个 Jenkins 管道,可以在本地环境中持续构建 Python 应用程序。这是代码: 管道{ 代理任何 阶段{ 阶段('结账'){ 圣...

回答 1 投票 0

我可以将owasp zap 与空手道框架集成吗?

我开始对项目中的api进行自动化测试, 我想运行安全验证,就像使用 owasp zap 扫描仪完成的那样,但沉浸在我的空手道自动化中。那是...

回答 1 投票 0

X-Frame-Options 和不存在的 html 文件上的 OWASP ZAP 误报

我正在使用 OWASP ZAP 来测试我的应用程序是否存在漏洞。 我正在使用登录页面的 URL 进行快速启动攻击。 我正在从 Eclipse 的 Tomcat 上运行该应用程序。 目前...

回答 3 投票 0

OWASP ZAP 导致 CORS 错误

通过 ZAP 浏览应用程序时,某些服务会响应 CORS 错误或停止正常工作。 如何正确配置ZAP,使ZAP不是源头而是应用程序? 我有

回答 1 投票 0

OWASP ZAP 无法自行清理

我正在使用 OWASP ZAP api 扫描 (zap-api-scan.py) 脚本使用 swagger 规范文件来扫描我的 api。这非常有效,扫描完成后我会收到一份不错的报告。 怎么...

回答 1 投票 0

为什么带有 OWASP-CRS 的 NGINX 无法正确记录警报?

我在记录来自 OWASP-CRS 的警报时遇到问题。 例如我提出请求: https://主机?exec=bin/bash Mod 安全性正确阻止了此请求,但在错误日志中我只有一个警报: 2...

回答 1 投票 0

修改 API 响应 OWASP Juice Shop(注册为具有管理员权限的用户)

OWASP Juice Shop 面临注册具有管理员权限的用户的挑战。 为了解决修改 API 响应所需的挑战,我需要将“角色”从客户更改为管理员,我已经看到了

回答 1 投票 0

zap 无法在 kali linux 中打开

我安装了 zap,但是当我单击应用程序打开它时,它没有打开 在此输入图像描述 我以前下载的网站: 网站 我用于下载参考的视频:video 我关注了...

回答 1 投票 0

使用损坏或有风险的加密算法加密算法。不应使用 base64EncodedString

我正在使用 Kiuwan 在我的一个 Swift 库上运行安全代码分析,我遇到了一个标记为高漏洞的问题,该问题准确说明了标题所读的内容,它向我指出了这一部分...

回答 1 投票 0

如何检查我的应用程序是否安全,免受常见类型的攻击

我有一些应用程序,其中一些公开公共端点。 我想知道这些应用程序是否可以免受某些常见类型的攻击(例如 CSRF、XSS、SQL 注入)的影响。 鉴于...

回答 1 投票 0

如果innerHTML没有在body上使用append,为什么还要将数据注入到页面中?

我遇到了这个看似安全的从html中提取文本内容的函数 函数 getText(html) { const div = document.createElement('div') div.innerHTML = html 返回div.text内容 } 它

回答 1 投票 0

导入请求和 sherlock 时出现 ModuleNotFoundError

当我在 Debian 机器上使用 sherlock 时遇到此错误 回溯(最近一次调用最后一次): 文件“/usr/local/lib/python3.9/runpy.py”,第 197 行,在 _run_module_as_main 中

回答 2 投票 0

© www.soinside.com 2019 - 2024. All rights reserved.