Публикации по теме 'owasp'


Хроники кибербезопасности: Атака инъекциями
Хроники кибербезопасности: Атака инъекциями Привет! «Атаки с внедрением кода» звонят в колокол? Если нет, то разберем. Это страшная фраза, которую любят использовать разработчики и специалисты по кибербезопасности. Хорошо, может показаться, что мы в Матрице, но это реальная угроза, с которой мы должны быть осторожны. Итак, вот в чем дело: атаки с внедрением кода происходят, когда плохие парни обманом заставляют приложение запускать свой вредоносный код. Это как обмануть..

Вопросы по теме 'owasp'

как использовать политику owasp-java-html-sanitizer на странице jsp
Мне дали задание предотвратить межсайтовый скриптинг (XSS) на нашем сайте. Эта концепция для меня нова, я много гуглил и нашел owasp-java-html-sanitizer. Я создал свою собственную политику с public static final PolicyFactory POLICY_DEFINITION =...
2059 просмотров
java xss owasp html-sanitizing
schedule 08.06.2024
Идентификатор сеанса не обновлен
Я работаю над open-source приложением "Project-Open" и при сканировании обнаружил следующую уязвимость: [Medium] Session Identifier Not Updated Issue: 13800882 Severity: Medium URL: https://<server_name>/register/ Risk(s): It is possible to...
39 просмотров
session-cookies session-variables owasp tcl project-open
schedule 21.02.2024
Реализация OWASP в Asp.Net MVC
Моя задача внедрить стандарт OWASP в мои проекты mvc. Я нашел документацию здесь также у нас есть пространство .Net здесь . Моя проблема в том, что я не понимаю несколько моментов, и для этого нет онлайн-поддержки (даже в разделе глоссария)...
516 просмотров
asp.net-mvc owasp
schedule 30.01.2024
Heap Inspection A6 — раскрытие конфиденциальных данных
Мне нужно исправить уязвимость Heap Inspection, которая возникает после запуска сканирования безопасности. Сканированный документ указывает на свойство POJO "private String password;". Также упоминается «Приложение не содержит кода, устанавливающего...
3737 просмотров
owasp checkmarx heap inspection
schedule 03.12.2022
Регулярное выражение для предотвращения атаки XSS в строке json
Я выполняю проверку ввода в java, используя вызов метода ESAPI.validator().getValidInput для предотвращения атак XSS в запросах POST. Я отправляю свою строку json этому методу для проверки регулярного выражения. Мое регулярное выражение ESAPI...
1559 просмотров
java json regex owasp esapi
schedule 02.11.2022
Zed Attack Proxy сканирует только одну страницу
Я только недавно начал использовать Zed Attack Proxy (ZED) для проверки уязвимостей OWASP, и я пытаюсь заставить его сканировать весь мой сайт. Я успешно заставил его войти в систему как пользователь и сканировать оттуда, но он остается на главной...
310 просмотров
owasp zap scanning
schedule 15.06.2024
Разрешить '/' в кодировщике OWASP с помощью метода encodeForHTML
Мне нужно очистить значение параметра Http, чтобы предотвратить атаку xss. Я использую банку owasp ниже. esapi-2.1.0.1.jar У меня есть дата параметра, которая содержит значение, разделенное знаком «/». дата=20.10.2017 Вот сегмент кода,...
819 просмотров
java security xss owasp
schedule 18.10.2022
Как установить X-Content-Type-Options и X-Frame-Options для html и javascript?
Я получаю следующие предупреждения, когда мы тестируем наш URL-адрес в инструменте ZAP: X-Frame - Заголовок параметров не установлен Защита от XSS веб-браузера не включена X-Content-Type - Отсутствует заголовок параметров Мы успешно...
636 просмотров
javascript html owasp zap
schedule 05.11.2023
Аутентификация на основе форм OWASP ZAP для приложения HTTPS
Я пытаюсь использовать функцию проверки подлинности на основе форм OWASP ZAP с использованием ZAP API python. Я заметил, что при использовании HTTP-приложения (например - http://demo.testfire.net/ ) он может работать с пауком и давать...
4180 просмотров
owasp zap
schedule 26.02.2024
Базовая авторизация в Zapproxy API
У меня есть этот завиток для вызова API: curl -X POST -u user:password /to/the/end/point И если я получу запрос с помощью zapproxy, я могу отправить его и провести активную атаку, но я пытаюсь вызвать этот вызов в api python. Я не могу...
793 просмотров
authentication api owasp zap zapproxy
schedule 20.11.2022
Разрешить определенные символы быть невосприимчивыми к кодировщику ESAPI?
Я пытаюсь включить кодировщик ESAPI в свое приложение JavaEE и хочу, чтобы он не кодировал определенный набор символов, например '‹', '!', '(', ')'. Я прочитал документацию...
954 просмотров
java owasp jakarta-ee esapi
schedule 11.05.2024
Как добавить оповещение ZAP через ZAP python api?
Я использую python ZAP api (ZAPv2) для написания сценария автоматизации для сканирования нашего сайта и создания отчета о предупреждениях, а теперь я также интегрирую python nmap для сканирования наших сайтов. однако, если у Nmap есть проблемы со...
132 просмотров
security owasp zap
schedule 15.02.2024
OWASP ZAP HTTP POST-сканирование не выполняется с импортированными URL-адресами
Я хотел бы использовать ZAP в режиме без заголовка для сканирования заданного набора URL-адресов. Вот что я сделал: Я запустил ZAP UI настроил его как HTTP_PROXY для браузера просмотрел мой веб-сайт (включая действия GET / POS / PUT во время...
682 просмотров
continuous-integration owasp zap
schedule 14.11.2022
Как перехватить контейнерный трафик Docker с помощью Burp?
Я сделал следующее: Run docker pull bkimminich/juice-shop Run docker run --rm -p 3000:3000 bkimminich/juice-shop Перейдите на http://localhost:3000 с прослушиванием Burp 127.0.0.1:8080 => Я вижу внешний трафик (google, cdn...), но не вижу...
215 просмотров
docker proxy owasp burp
schedule 24.12.2023