IBM Mobile First Platform 7.1不支持证书固定。
我们使用IBM Blue-mix Security Scan测试了apt。缺少证书锁定严重性:原因:此连接未实现/禁用证书锁定。修复X-Force: NoneOWASP: M3修复:启用此连接的证书锁定。
浏览 0提问于2016-11-01得票数 0
1回答
我们的应用程序的安全性测试遇到了一个与证书链验证相关的安全问题。是CWE-296 有人能提供更多这方面的知识吗?可能会分享一些这样做的示例应用程序。
我们正在使用Okhttp进行联网!
浏览 4提问于2021-07-29得票数 1
回答已采纳
我已经下载了一个.exe应用程序,它可以通过TLS与服务器通信。我想看看正在传输的数据。在wireshark中,我看到在建立连接时,它们(app和server)选择据我所知很难解密。我可以禁用这个算法而只留下RSA吗?我在windows 10上,但是有带有ubuntu和xp的虚拟机。在windows上,它是否响应于这个可用密码套件的丰富列表? TLSv1.2 Record Layer: Handshake Protocol: Client Hello
浏览 0提问于2017-05-27得票数 0
回答已采纳
1回答
是否有办法使OWASP发送客户端证书?看起来,我需要让OWASP来发送证书而不是浏览器,或者以某种方式让浏览器强制ZAP转发证书。Firefox、OWASP和Seleniu
浏览 0提问于2018-08-17得票数 1
回答已采纳
我使用jMeter代理检查来自iPhone的SSL通信量,方法是在iPhone上安装jMeter证书,然后在电话上配置wifi以使用jMeter代理。
浏览 0提问于2016-08-03得票数 0
回答已采纳
假设我通过OWASP本地代理执行一些请求,由于某种原因,它失败了SSL握手。
有没有任何方法可以查看握手过程中提供的SSL证书zaproxy,在哪个url上等等?
浏览 0提问于2020-05-03得票数 0
2回答
有没有最好的方法在iOS中进行证书锁定,以避免中间人攻击。或者,苹果提供了什么替代方法来建立安全的连接?目前,我正在使用一种证书定位方法,我必须将.der文件存储在我的应用程序中,以便与服务器证书进行比较,或者作为option2来执行SHA1或MD5验证。但在这种情况下,应用程序需要定期更新这些证书的更改。提前感谢
浏览 2提问于2015-01-30得票数 0
日安,OWASP 2.8Mozilla FireFox 73.0Java版本: 1.8AWS托管网站。我正在使用OWASP代理并配置其
本地代理在浏览器上导入CA根证书。
浏览 5提问于2020-02-24得票数 1
1回答
这不是一个关于证书钉扎的一般问题。Certificate chain i:/C=US/ST=Washington/L=Redmond这是否意味
浏览 2提问于2017-08-01得票数 0
上一次我进行扫描时(在OWASP2.4.0上使用Firefox版本的相同时间框架),我可以轻松地生成动态ssl证书,保存它(作为一个cer)并将它导入Firefox。现在,Firefox抱怨说“无法安装这个个人证书,因为您没有相应的私钥,该私钥是在请求证书时创建的。”我不是ZAP,或证书,专家,但这不应该工作吗?Chrome和IE不抱怨证书,但他们默默地没有导入它。这意味着我不能做我需要做的扫描。到明天..。谢谢!将要
浏览 2提问于2018-01-10得票数 0
回答已采纳
是否可以将根CA证书导入到JxBrowser中,或者禁用Chromium的证书检查?我们希望在OWASP ZAP中使用JxBrowser,这是一个安全工具,允许您通过使用自己的根CA证书重新签名来拦截HTTPS流量。默认情况下,JxBrowser会忽略证书错误,而在v6.11中,这一切都很好。在6.12版本中,我们不再能够通过ZAP代理访问google.com,我猜这可能是由于证书固定。我们希望能够“开箱即用”使用JxBrowser,这样我们的用户就不必手动将ZAP根CA导入到他们的机器
浏览 6提问于2017-02-04得票数 0
1回答
应用安全与网络渗透测试
、、、
我是一个拥有大约7年经验的web开发人员,但在过去的12个月里,我已经进入了网络安全领域,所以我已经开始在工作中实现安全代码实践和OWASP良好实践。我注意到应用程序秒的家伙没有/需要大量的证书集合,就像戊酯一样。1)除了阅读网页应用程序黑客手册、实现OWASP安全方法和做CTF外,我还可以在不购买pwk课程(OSCP)的情况下进入应用安全领域?2)是否值得采取OSCP成为一名新的应用程序安全专家或任何其他证书?
3)网络渗透测试与web应用安全在日常工作任务上有什么大的区别?
浏览 0提问于2017-03-18得票数 3
在不购买ssl证书的情况下,有什么方法可以做到吗?
我是否可以使用自签名证书并将证书(或其指纹)添加到PhoneGap应用程序中,这样它就可以始终检查证书是否正确,并且不会发生中间人攻击。
浏览 1提问于2014-04-02得票数 2
回答已采纳
尝试使用会生成浏览器证书错误或警告的证书访问HTTPS站点上承载的web内容时,如何检测证书错误?目前看来,如果通信通道不安全,框架甚至不会发送HTTP请求(例如,如果SSL没有正确实施,例如证书的信任链验证失败)?干杯
浏览 0提问于2013-06-11得票数 1
2回答
我知道当我通过https在浏览器中发送或获取数据时,服务器和客户端(浏览器)都会相互检查证书。如果一切正常,数据传输就开始。下面是一个让我感到困惑的例子:我在dropbox中有一些文件。如果我指定https地址,我可以用我的代码下载它。
浏览 0提问于2015-01-29得票数 2
回答已采纳
在通过owasp zap扫描https网站时,我发现用户名和密码信息没有加密。原因是什么以及如何解决。请看下面的ZAP截图。
📷
浏览 0提问于2019-07-25得票数 0
2回答
解密TLS流量
、、、、
我所调查的:代理我不能强迫3DS公司接受有问题的证书。我不会试图窃取实际的私钥(一旦我知道协议,我对它没有兴趣)。我考虑过设置一个代理,一个CA服务器实例并将桌面的主机文件指向此服务器实例,安装任天堂的证书,然后用我自己的私钥覆盖他们的公钥,然后在代理上使用我的3DS证书与任天堂进行通信。我有服务器的证书和3DS的客户端证书。
浏览 0提问于2014-10-29得票数 3
回答已采纳
1回答
我试图使用OWASP代理和Burp Suite拦截请求。我目前的配置是我的android手机(One Plus 5,AndroidOreo8.1)已经安装了来自ZAP和Burp的证书。但是,当我在ZAP代理中更改了ZAP证书时,就会出现问题。因此,使用ZAP代理上的新证书,通常的做法是将证书安装到我的Android手机中。但是有了现有的ZAP证书,我不能这么做。如果我试图从/system/etc/security/cacerts中删除旧的ZAP<e
浏览 0提问于2018-05-17得票数 2
我想使用Genymotion作为我的Android模拟器,并打算附加OWASP Zap (localhost:8080)作为它的代理,但我遇到了一个SSL错误。 ? 有人能帮我解决这个问题吗?
浏览 38提问于2020-09-08得票数 0
云服务器
对象存储
ICP备案
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号