Публикации по теме 'owasp'
Хроники кибербезопасности: Атака инъекциями
Хроники кибербезопасности: Атака инъекциями
Привет! «Атаки с внедрением кода» звонят в колокол? Если нет, то разберем. Это страшная фраза, которую любят использовать разработчики и специалисты по кибербезопасности. Хорошо, может показаться, что мы в Матрице, но это реальная угроза, с которой мы должны быть осторожны.
Итак, вот в чем дело: атаки с внедрением кода происходят, когда плохие парни обманом заставляют приложение запускать свой вредоносный код. Это как обмануть..
Вопросы по теме 'owasp'
как использовать политику owasp-java-html-sanitizer на странице jsp
Мне дали задание предотвратить межсайтовый скриптинг (XSS) на нашем сайте. Эта концепция для меня нова, я много гуглил и нашел owasp-java-html-sanitizer. Я создал свою собственную политику с
public static final PolicyFactory POLICY_DEFINITION =...
2059 просмотров
schedule
08.06.2024
Идентификатор сеанса не обновлен
Я работаю над open-source приложением "Project-Open" и при сканировании обнаружил следующую уязвимость:
[Medium] Session Identifier Not Updated
Issue: 13800882
Severity: Medium
URL: https://<server_name>/register/
Risk(s): It is possible to...
39 просмотров
schedule
21.02.2024
Реализация OWASP в Asp.Net MVC
Моя задача внедрить стандарт OWASP в мои проекты mvc. Я нашел документацию здесь также у нас есть пространство .Net здесь .
Моя проблема в том, что я не понимаю несколько моментов, и для этого нет онлайн-поддержки (даже в разделе глоссария)...
516 просмотров
schedule
30.01.2024
Heap Inspection A6 — раскрытие конфиденциальных данных
Мне нужно исправить уязвимость Heap Inspection, которая возникает после запуска сканирования безопасности. Сканированный документ указывает на свойство POJO "private String password;". Также упоминается «Приложение не содержит кода, устанавливающего...
3737 просмотров
schedule
03.12.2022
Регулярное выражение для предотвращения атаки XSS в строке json
Я выполняю проверку ввода в java, используя вызов метода ESAPI.validator().getValidInput для предотвращения атак XSS в запросах POST.
Я отправляю свою строку json этому методу для проверки регулярного выражения.
Мое регулярное выражение ESAPI...
1559 просмотров
schedule
02.11.2022
Zed Attack Proxy сканирует только одну страницу
Я только недавно начал использовать Zed Attack Proxy (ZED) для проверки уязвимостей OWASP, и я пытаюсь заставить его сканировать весь мой сайт. Я успешно заставил его войти в систему как пользователь и сканировать оттуда, но он остается на главной...
310 просмотров
schedule
15.06.2024
Разрешить '/' в кодировщике OWASP с помощью метода encodeForHTML
Мне нужно очистить значение параметра Http, чтобы предотвратить атаку xss. Я использую банку owasp ниже. esapi-2.1.0.1.jar
У меня есть дата параметра, которая содержит значение, разделенное знаком «/». дата=20.10.2017
Вот сегмент кода,...
819 просмотров
schedule
18.10.2022
Как установить X-Content-Type-Options и X-Frame-Options для html и javascript?
Я получаю следующие предупреждения, когда мы тестируем наш URL-адрес в инструменте ZAP:
X-Frame - Заголовок параметров не установлен
Защита от XSS веб-браузера не включена
X-Content-Type - Отсутствует заголовок параметров
Мы успешно...
636 просмотров
schedule
05.11.2023
Аутентификация на основе форм OWASP ZAP для приложения HTTPS
Я пытаюсь использовать функцию проверки подлинности на основе форм OWASP ZAP с использованием ZAP API python.
Я заметил, что при использовании HTTP-приложения (например - http://demo.testfire.net/ ) он может работать с пауком и давать...
4180 просмотров
schedule
26.02.2024
Базовая авторизация в Zapproxy API
У меня есть этот завиток для вызова API:
curl -X POST -u user:password /to/the/end/point
И если я получу запрос с помощью zapproxy, я могу отправить его и провести активную атаку, но я пытаюсь вызвать этот вызов в api python. Я не могу...
793 просмотров
schedule
20.11.2022
Разрешить определенные символы быть невосприимчивыми к кодировщику ESAPI?
Я пытаюсь включить кодировщик ESAPI в свое приложение JavaEE и хочу, чтобы он не кодировал определенный набор символов, например '‹', '!', '(', ')'.
Я прочитал документацию...
954 просмотров
schedule
11.05.2024
Как добавить оповещение ZAP через ZAP python api?
Я использую python ZAP api (ZAPv2) для написания сценария автоматизации для сканирования нашего сайта и создания отчета о предупреждениях, а теперь я также интегрирую python nmap для сканирования наших сайтов.
однако, если у Nmap есть проблемы со...
132 просмотров
schedule
15.02.2024
OWASP ZAP HTTP POST-сканирование не выполняется с импортированными URL-адресами
Я хотел бы использовать ZAP в режиме без заголовка для сканирования заданного набора URL-адресов. Вот что я сделал:
Я запустил ZAP UI
настроил его как HTTP_PROXY для браузера
просмотрел мой веб-сайт (включая действия GET / POS / PUT во время...
682 просмотров
schedule
14.11.2022
Как перехватить контейнерный трафик Docker с помощью Burp?
Я сделал следующее:
Run docker pull bkimminich/juice-shop
Run docker run --rm -p 3000:3000 bkimminich/juice-shop
Перейдите на http://localhost:3000 с прослушиванием Burp 127.0.0.1:8080 => Я вижу внешний трафик (google, cdn...), но не вижу...
215 просмотров
schedule
24.12.2023