1回答
我目前是几个应用程序的安全分析人员,并且愿意从future.To的渗透测试开始,我需要什么样的技能集来开发像工具和概念这样的技能?请指导我与良好的学习网页链接。
浏览 0提问于2016-04-12得票数 -1
1回答
我们在WebServices安全方面有什么好的资源吗?任何书籍,pdfs,文章,甚至有关安全web服务的详细答案都将不胜感激。
浏览 0提问于2011-08-02得票数 1
回答已采纳
3回答
开放Web应用程序安全项目
促进面向web服务的安全软件开发,主要侧重于“后端”而不是web设计问题,这是一个开放的讨论论坛,为任何开发团队提供免费资源。
那是什么?操作系统或软件?
浏览 14提问于2010-08-22得票数 6
1回答
OWASP应用程序安全验证标准有多相关?你有没有把它作为企业的一项要求?还有哪些其他与业务相关的应用程序安全标准?我确实想找他们,但是只有OWASP ASVS弹出了.
我的老板,一个非技术人员,想要销售强大的应用程序安全性,而我是团队安全中最有见识的人。我想对我的老板说:在这里,我使用这个真正相关的标准来验证应用程序的安全性,这样他在与有经验的安全专家交谈时就不会感到难堪。
浏览 0提问于2016-05-25得票数 4
回答已采纳
1回答
阻止直接访问rtsp链路
、、、、
我计划使用Darwin streaming server和VLC库构建流服务器和流媒体播放器客户端。我的目标是只通过我的客户端,可以访问达尔文流媒体服务器上的视频。如果不使用我的客户端,我不希望任何人访问我的RSTP链接。因为当我得到像rtsp://localhost/myvideo.mp4这样的任何RTSP链接时,我可以直接在VLC播放器上播放它。但是,有没有可能在不使用我在Darwin Streaming Server上配置的客户端的情况下阻止对RTSP链接的直接访问?
浏览 5提问于2017-12-14得票数 0
我不确定这是不是一个信息安全或网站管理员的问题,而不是程序员,但我将看看我们如何处理。
我已经为一个特定的浏览器游戏建立了一个帮助网站的原型,我已经使帮助网站的布局简洁简洁,其馀的页面空间可以填充一个iframe,它将包含游戏本身,这样玩家也可以在我的网站上玩。
这样,玩家可以玩浏览器游戏,并可以访问所有的工具和信息,在我的帮助网站上的页面顶部。当然,帮助网站不与iframe内的游戏进行交互,其目的是提供与游戏相关的有用的参考和计算器。
我对iframes的安全性做了一些研究,以及因为同样的原产地政策,承载iframe的网站是如何不能干扰iframe的。我能想到的唯一的安全漏洞是玩家不确定真正
浏览 0提问于2015-02-12得票数 1
回答已采纳
1回答
最近,我检查了我的Apache domlog并注意到以下攻击:
POST /index.php?page=shop.item_details&cat_id=150&flp=flp_images.tpl&prod_id=9191&vmcchk=1&option=com_vm&Itemid=999999.9)+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133359144353632312e39,0x393133358134383632322e39...
这显然是对SQL注入的尝试。这种情况在同一IP上发
浏览 0提问于2013-08-30得票数 0
回答已采纳
1回答
我已经在Windows上的tomcat 8上安装了jasperserver。我想让用户通过反向代理通过NGinx访问它。我已经安装了nginx并为jaspersoft创建了一个服务器文件。当我访问jaspersoft的URL时,一切看起来都很好。但是一旦我登录,我就会从"https://$URL/flow.html?_flowId=searchFlow“被重定向到"https://$URL"”。请参阅下面的配置和访问日志。 我已经在互联网上搜索了相关问题,但找不到解决方案。 这是我的nginx配置: listen 80;
server_name jaspersoft-
浏览 36提问于2019-04-26得票数 0
1回答
我读了一些文档,他们说OWASP是用于web应用程序的安全目的。但我不清楚这一点。谁能告诉我的目的,有什么区别正常的应用程序(没有owasp)和安全应用程序(有owasp),为什么我们需要它。你能给我一些可运行的angularjs例子来做以下事情吗
1)A2:跨站脚本(XSS)
2)A3:破解的认证和会话管理
3)A4:不安全的直接对象引用
4)A5:跨站请求伪造
5)A6:安全配置错误
6)A7:不安全的加密存储
7)A9:传输层保护不足
浏览 2提问于2016-03-01得票数 0
1回答
我已经开发了一个Rails网站,将由我的公司使用,供所有员工内部使用。它已经做好了直播的准备,但我想确保它足够安全,能够面对外面这个大而坏的世界。所以我想通过黑客攻击来测试这个网站的安全性。这方面的好起点是什么?你知道有什么好的教程或技巧吗?
浏览 3提问于2014-01-18得票数 3
回答已采纳
我正在尝试使用OWASP ZAP对应用程序的Swagger API (OpenAPI)定义进行主动扫描。基本上,我需要使用自动化工具(当然不是手动工具)测试应用程序的API端点,因为使用不同的有效负载和大型API手动测试将花费大量时间。在执行活动扫描之前,我已经配置了ZAP上下文,从URL/文件加载了API定义,然后在上下文中确保选择了正确的用户凭据。我测试了一些web和移动应用程序,它们与ZAP完美配合,但我注意到,如果应用程序使用自定义的身份验证类型而不是通常的HTTP header Authorization: Bearer: <token>,则即使上下文和设置正确,ZAP
浏览 44提问于2019-09-09得票数 0
我想从测试中生成一份基本报告,我希望测试覆盖OWASP前10名。我已经查看了OWASP ZAP报告,但这只是突出了任何问题,而不是说XY和Z在测试时没有证据表明它们发生了,并详细说明了发现的问题。
这不是一个关于如何测试web应用程序的问题。问题是:有没有什么工具可以生成报告,说明测试的内容以及漏洞?
浏览 3提问于2013-02-07得票数 0
因此,我的公司正在使用Jasper 6,我们遇到了编辑一个非常大的域(很多表)的问题。如果我选择编辑和域设计器…,设计器将打开,但一旦我单击任何选项卡(表,或派生表,.),我就会得到“连接被重置”错误页面。在我们的一些客户,我们被踢出了会议,并不得不再次登录。
造成这种情况的原因是什么,我该如何解决呢?谢谢。
浏览 0提问于2019-03-19得票数 0
3回答
我以网络开发为生,但我真正的爱好是安全。我曾与无数的开源web应用程序/框架合作过,我发现其中大多数都存在漏洞。造成这些漏洞的主要原因是开发人员缺乏安全教育。我一直在考虑如何解决这些问题。我的想法是启动一个“开源web应用程序”渗透测试社区。该社区将由志同道合的安全专业人士/狂热者组成。
社区:
选择开放源码web应用程序的特定版本,并为其提供1至4周的时间框架(取决于应用程序的大小)。
测试应用程序是否存在安全问题。渗透测试+源代码评审。(可能遵循各种OWASP指南)
向开放源码组织发出漏洞列表。
帮助编写/检查修补程序
向开放源码组织提供设计建议和教育材料
汇编所有制作的材料,并为教育目的
浏览 0提问于2011-08-21得票数 5
1回答
我在网络安全研发公司工作了几年。同时,我还获得了CEH (认证伦理黑客)证书和CISSP证书。
我想要转移到安全行业,而不是研发环境作为我的下一步计划。因此,什么样的证书可以是我的下一个目标?
浏览 0提问于2018-09-05得票数 0
回答已采纳
下午好
我相信结合使用SQL和org.springframework.data.repository.query.Param可以防止超过这些参数的org.springframework.data.jpa.repository.Query注入。
例如:
@Query("DELETE User c WHERE c.issuer = :issuer AND c.subject = :subject")
void deleteByIssSub(@Param("issuer") String issuer, @Param("subject") St
浏览 0提问于2021-04-09得票数 1
5回答
我试图分析一下“从测试的角度可以做些什么”,以便在“应用程序安全级别”上测试一个移动应用程序(ios & Android)。以下是我在测试中要考虑的几点。
安全测试
恶意功能(活动监视和数据检索)
未经授权的拨号、短信和付款
未经授权的网络连接(外过滤或命令和控制)
UI模拟
系统修改(rootkit,APN代理配置)
脆弱性
敏感数据泄漏(无意或侧通道)
不安全敏感数据存储
不安全敏感数据传输
硬编码密码/密钥
任何帮助或指示都是非常感谢的。
浏览 0提问于2013-12-18得票数 4
回答已采纳
1回答
我在做网络应用程序。我需要检查依赖项的安全性。
实际上,我正在使用OWASP依赖项检查来扫描我的源代码,但我认为这不是在web应用程序上使用的最佳工具。我认为npm审计或纱线审计是检查这一应用程序的依赖关系安全性的较好工具。
使用OWASP,我使用OWASP SonarQube项目将结果集成到所使用的设置的sonarQube示例中:
sonar.dependencyCheck.reportPath=$(System.DefaultWorkingDirectory)/DependencyCheckResults/dependency-check-report.xml
sonar.dependen
浏览 1提问于2019-09-13得票数 10
我有一个产品(SaaS),我需要介绍给客户。但是我担心客户是否可以问我关于安全方面的问题。因此,如果有人可以帮助我与风险水平和威胁的20个必要步骤的核对表。例如:像笔试。 谢谢
浏览 40提问于2021-02-28得票数 0
我使用ESAPI jar进行验证。当我调用isValidInput(Context,input.trim(),ValidateConstant.APLHA_NUMERIC_TYPE,maxLength,true);或isValidInput(Context,input,ValidateConstant.NUMERIC_TYPE,maxLength,true)时,输入的特殊字符有误。然后它抛出一些类似于
org.owasp.esapi.errors.ValidationException: input: Invalid input. Please conform to regex ^[0-9]*
浏览 1提问于2015-01-29得票数 0
在基于servlet的应用程序中,我希望使用 session Redis进行会话复制。一切都很好,但对于csrf安全,我们使用的是owasp,在该流中,会话令牌将设置在HttpSessionListener.The令牌验证时丢失。
我尝试创建独立的代码来重现这个问题,我已经创建了SampleHttpListener并为会话设置了一些属性,但是在servlet级别上看不到这些值。
请告诉我我遗漏了什么或者其他什么方法。
我在这里添加了源代码,
浏览 2提问于2021-02-03得票数 1
1回答
我想知道我和我们的.NET/AngularJS网络开发者团队是否有任何与编写安全代码相关的免费认证,
这样我们就可以编写安全的代码,并向客户保证他们的应用程序的开发人员是“认证的”。
我主要是寻找免费(如果没有支付也是罚款)的互联网认证。
我也做过同样的搜索(并且知道OWASP,isc2.org,sans.org),但是我不知道哪一个是免费的,还是行业最好的。
任何帮助都是非常感谢的。
浏览 0提问于2016-09-14得票数 -3
我已经尝试了在网络cookie上启用CSRF属性的所有WSO2指南,并提交了认证端点webapp的GET方法的表单,但仍然无法达到效果。
在GET方法的响应中,我收到了authenticationendpoint的“Anti-CSRF令牌缺失”ZAP漏洞,因为它不包含响应正文的表单提交标记中的隐藏参数- csrf令牌。
引用的WSO2链接:
ZAP漏洞中提供的信息:
No known Anti-CSRF token [anticsrf, CSRFToken, __RequestVerificationToken, csrfmiddlewaretoken, authenticity_tok
浏览 2提问于2020-05-26得票数 1
package main
import (
"fmt"
"regexp"
)
func main() {
r, _ := regexp.Compile(`OWASP_CSRFTOKEN:([a-zA-Z0-9\-]+)`)
str := "OWASP_CSRFTOKEN:A-a-**\n**9-!OWASP_CSRFTOKEN:B-b-8-"
fmt.Printf("%q\n", r.FindString(str))
}
我在试着匹配一种模式。注意\n变量中的st
浏览 16提问于2020-07-19得票数 1
是否有任何模板或指南说明应如何记录威胁模型?
例如,基于云/第三方的即时消息服务面临什么样的威胁?你会以步幅(欺骗、篡改、否认、信息披露、DoS、提升)作为参照点吗?你需要什么样的图表?
希望获得一些总体指导,以帮助解释如何为基于第三方/云的消息传递服务生成威胁模型分析。
浏览 0提问于2016-11-14得票数 1
1回答
我试图将依赖项检查添加到我的JenkinsFile中,但没有成功。
插件安装和配置完成。
全局刀具配置
名称: Vulnerability5
自动安装(检查)
版本:依赖-检查5.2.4
pipeline {
agent any
tools {
nodejs "node8"
dependency-check "vulnerability5"
}
stages {
stage('Install Deps') {
steps {
//I
浏览 3提问于2019-12-16得票数 2
1回答
可能重复: 计算机安全领域的职业道路是什么?
我是一名软件开发人员。目前我对IT安全感兴趣,但我在学习IT安全的途径方面遇到了困难。
是否有用于IT安全的学习路径,例如,学习此链接中存在的Java编程语言的路径:
http://download.oracle.com/javase/tutorial/tutorialLearningPaths.html
谢谢:d
浏览 0提问于2011-08-23得票数 5
1回答
我正在为我正在使用的应用程序编写一个安全架构。我很难找到一个框架来完成这个任务。我可以找到许多框架,比如TOGAF和SABSA,它们可以与企业安全一起工作,但我的任务更适合于应用程序。有人用过这样的框架吗?
浏览 0提问于2013-12-15得票数 0
1回答
移动应用安全
、、
我们是否需要为那些用支持多平台编译的语言编写的应用程序(如更完整的程序)执行单独的戊out?它将带来多少价值,因为后端代码块和主要代码块是相同的,并且一些操作系统特定的配置是不同的。
浏览 0提问于2022-05-16得票数 2
1回答
我有一个在Jboss服务器下执行的应用程序。我前面有个Apache服务器。我的应用程序包含一个安全漏洞(XSS跨站点脚本)。
我想知道我必须修改代码(HTML,JavaScript,Java,.)?
如何确保我的应用程序安全?我是否设置了js框架来保护它?
是什么类型的XSS漏洞?
反射
是如何引入的,上下文是什么?
通过修改我的url引入
你在使用什么
框架?
支柱1
XSS由HTML代码执行,该代码由第三方引入并由应用程序执行。在下面的示例中,要调用添加了postscript警报(1)。它是在申请方制作的。
浏览 0提问于2016-02-22得票数 0
回答已采纳
我们使用nginx进行https流量卸载,代理到在端口8080上运行的本地安装的jasperserver (5.2)。
internet ---(https/443)---> nginx ---(http/8080)---> tomcat/jasperserver
当直接访问jasperserver的端口时,一切都很好。当通过nginx访问服务时,一些功能被破坏(例如在jasperserver UI中编辑用户),jasperserver日志包含如下条目:
CSRFGuard: potential cross-site request forgery (CSRF) attack th
浏览 9提问于2013-07-29得票数 10
回答已采纳
我正在开发OWASP 3.0,但是
java.lang.ClassNotFoundException: org.owasp.csrfguard.CsrfGuardHttpSessionListener。
我把这个jar保存在lib文件夹Owasp.CsrfGuard.jar .And中,在WEB Floder .Please中保存了csrfguard.properties,检查了下面的web.xml文件以进行配置。
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardServletCo
浏览 0提问于2015-12-04得票数 1
2回答
我在网上搜索了很多,没有找到任何直接回答我问题的东西。存在哪些类型的漏洞。我指的是缓冲区溢出之类的漏洞,而不是XSS或SQLi等。下面是我所知道的存在漏洞的简短列表:
缓冲区溢出(堆栈和堆)
整数溢出
格式字符串漏洞
访问控制问题
有人能在这张单子上加点什么吗?
浏览 0提问于2014-05-03得票数 0
回答已采纳
我被要求写一篇关于安全性最佳实践的第一次技术审核,以提高PHP网站的安全性。
我想知道从哪里开始?是否有著名的审计表格来分析和评估网站的安全性?一个在线免费工具来做第一次检查?
该网站是一个非常基本的PHP开发。
浏览 0提问于2012-12-02得票数 1
回答已采纳
有人对小公司(大约7名员工)的信息交流培训有什么建议吗?
我将寻找一般的信息安全意识和特定的培训,以安全地使用数据库(特别是MySQL)。
我所看到的一切都是针对大型组织的,超出了我们的预算范围。
浏览 0提问于2020-08-24得票数 0
我想了解什么是CSRF漏洞。我在我的web应用程序中使用授权系统,并找到了CSRF。
我们应该做些什么来解决这个问题?
实际上,我想为这个漏洞创建模拟,但我并不完全理解。
浏览 0提问于2012-08-01得票数 1
回答已采纳
我的代码正在使用org.owasp.esapi 2.2.0.0,但是升级到2.2.3.1之后,我得到了ClassNotFoundException。
我的密码是:
Properties esapiProps = new Properties();
try {
esapiProps.load( SecurityUtil.class.getResourceAsStream("/ESAPI.properties") );
} catch (IOException | NullPointerException e) {
logger.log(
浏览 59提问于2021-07-08得票数 2
回答已采纳
在把这个问题标记为重复之前,让我告诉你这个问题有点不同。
我有一个包含三个模块的项目,即-ejb、-ear和-web on NetBeans。我目前正在-web模块上工作,直到昨晚,一切都很好,我做了一个工作项目的git commit,然后我在我的项目上做了一个清理,并在我的项目上构建了,因为我的互联网连接失败了。由于我使用的是来自OWASP的ESAPI,所以每次构建时都需要下载一些依赖项,而且由于我的internet连接中断,它无法构建。
今天,当我尝试使用一个可工作的internet连接进行清理和构建时,-web模块给出了有关maven依赖项的错误。
未能在项目Papercraft-we
浏览 1提问于2016-05-26得票数 1
回答已采纳
在这里有一个日益严重的问题,任何帮助都是很好的。基本上,我们的一个客户加强了他们的安全性并实现了OWASP (owasp.org)。现在,我们现有的一些网站功能在回发时会返回一个安全冲突。我将其中一个主要问题缩小到了Telerik RadTabStrip。一旦包含RadTabStrip条带的页面回发,OWASP就会返回一个安全冲突。不幸的是,我们无法访问日志,客户端给了我们一些代码片段,但它们似乎与SQL注入相关,也与视图状态的模式匹配有关。
然后,我创建了一个带有4个RadTab/RadPageViews的RadTabStrip的空白页面,每个都包含字母表中的一个字母和一个可以回帖的按钮。单
浏览 1提问于2012-07-10得票数 0
3回答
我正在编写一个正则表达式来获取""之间的数据。我遇到的唯一问题是最后一个"被捕获了。
line = '<DT><A HREF="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html" ADD_DATE="1567455957">Clickjacking Defense · OWASP Cheat Sheet Series</A>'
capture_regex = r
浏览 0提问于2019-09-10得票数 1
回答已采纳
1回答
我用小提琴来分析网站的要求。下面的GET
GET https://tss.sfs.db.com/websso/sso_FallThrough.sso?Xe47eKuUc4rm2LW9V1BHSzU1....
返回
HTTP/1.1 302 Found
Date: Wed, 06 Jul 2016 16:13:19 GMT
Server: dweb
Set-Cookie: CTSESSION=AAAAAQABAHid6vs1jduDPC1Q9ItYbjKC6Ih4bImKPTYYA6fOLowLvtT%2FsUj%2F2o7kl4ovRmo8qfOQjQgx%2B%2BQL6%2F6sspncr
浏览 4提问于2016-07-06得票数 0
回答已采纳
1回答
在一边,我有:,这里我们声明字段为BYTEA,我们可以解密它,并且加密是在db级别的。
另一方面:在这里是varchar,我们只比较要授权的散列。
最后,Spring给出了 + char的秘密值,每个密码都是一样的吗?
哪种方法是最好的?(我倾向于Spring,因为据我所知,它在几行代码中封装了与OWASP类似的逻辑?)
浏览 2提问于2011-10-16得票数 1
回答已采纳
1回答
我正在编写一些反XSS代码,并希望将常见的HTML标记及其相应的属性列入白名单。
我有一个客户在PostgresSQL数据库中输入超文本标记语言的大型数据库,并想挖掘数据,以找出哪些标签是常用的不同的列。
我正在考虑将数据库转储为纯文本,并使用grep或shell脚本来查找公共标记。做这件事的好方法是什么?我对任何能在UNIX (OSX)或PostgreSQL上运行的东西都持开放态度。
浏览 0提问于2013-06-13得票数 1
1回答
目前,我已经部署了ModSecurity作为反向代理来提供应用层安全。现在,我想为我所保护的所有web应用程序编写特定的应用程序规则,即Web应用程序的正/负安全模型。我的问题和怀疑是
是否有用于为Web应用程序编写安全配置文件的模板,即有关应用程序特定参数、应用程序特定头和应用程序结构的安全策略?简而言之,使用此概要文件,我想编写WAF规则并跟踪更改,即如果Web应用程序通过一些新特性得到增强,那么风险有多大。我还想与我的客户分享这个配置文件,以便遵循。
浏览 0提问于2013-01-18得票数 0
回答已采纳
1回答
我正在试图找到一些有意攻击的Flash应用程序,我可以在这些应用程序上进行安全测试(与类似该死的易受攻击应用程序一样)。
我注意到网络上有很多资源显示如何对SWF应用程序进行解译,或者如何利用Flashvars,但似乎没有任何有意攻击的Flash应用程序可以用于实践。
除了自己写一个之外,还有人有什么建议吗?
浏览 0提问于2018-02-11得票数 3
1回答
我想保护我的应用程序不受csrf的影响,所以我添加了owasp.csrf.jar并按照描述的配置了我的应用程序,然后我用csrf令牌标记将隐藏字段添加到我的表单中,如下所示:
<input type="hidden" name="<csrf:token-name/>" value="<csrf:token-value/>" />
但是当我的页面呈现时,我在TokenNameTag.java中得到了
我错过了什么?
更新
堆叠痕迹:
2013-04-15 10:46:49,985 ERROR [org.apach
浏览 4提问于2013-04-15得票数 4
1回答
我正在使用Maven,并且正在尝试生成一个OWASP依赖项报告。我的POM如下:
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
&l
浏览 2提问于2020-11-13得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
