owasp相关内容

检测到跨站点请求伪造(CSRF)时应发回什么响应

检测到跨站点请求伪造(CSRF)时，我应该发回什么响应？ 有一个扫描工具我拿不到，那就是说我的一个页面没有受到保护CSRF。但它是。我返回的响应是一个正常的202，并带有一句“请求无法处理”。就是这样，没有任何有用的信息被发送回攻击者，并且我记录了该尝试。但该软件表示，它仍然容易受到CSRF的影响。我可以很容易地自己运行测试并弄清楚它，但扫描和测试之间的时间很长，我无法获得相同的软件，这就是 ..

发布时间：2022-07-24 16:37:09 coldfusion csrf owasp 其他开发

在这个domxss.com挑战中，HTML注入是如何可能的

OWASP的HTML注入测试页(link)显示了被认为易受HTML注入攻击的特定代码。 function setMessage(){ var t=location.hash.slice(1); $("div[id="+t+"]").text("The DOM is n ..

发布时间：2022-04-08 20:51:35 html jquery xss owasp html-injections 前端开发

将命令行上的变量传递给 Cucumber 测试

我试图让黄瓜项目的用户名和密码不受版本控制. 有没有办法在命令行上手动将用户名和密码等变量传递给黄瓜脚本? 我的备份计划是将它们放在一个 YML 文件中，然后将该文件添加到 gitignore 中，这样它们就不会被置于版本控制中. 解决方案 所以，我看到你对铁皮人的评论，答案是肯定的. 黄瓜密码=my_password PASSWORD 设置为环境变量，您可以通过将其称为 ..

发布时间：2022-01-22 23:24:09 ruby cucumber owasp 其他开发

为什么 OWASP 不建议在客户端和服务器上都对密码进行 bcrypt?

由于最近 GitHub 和 Twitter 出现问题: GitHub不小心在其内部日志中记录了一些明文密码 Twitter 承认在内部日志中记录明文密码，就像 GitHub 一样 我想知道，为什么最好不要在客户端和服务器上同时加密密码?由于我不会更改任何已经是服务器端最佳实践的东西(盐、强哈希、HTTPS)，它只会更安全.服务器会将已经散列的密码视为密码，并在存储之前再次对其进行散列 ..

发布时间：2022-01-22 08:42:32 security authentication passwords owasp 其他开发

什么是“X-Content-Type-Options=nosniff"?

我正在使用 OWASP ZAP 在我的本地主机上进行一些渗透测试，它一直报告此消息: Anti-MIME-Sniffing 标头 X-Content-Type-Options 未设置为'nosniff' 此检查特定于 Internet Explorer 8 和 Google Chrome.确保每个页面都设置了 Content-Type 标头和如果 Content-Type 标头未知，则 ..

发布时间：2022-01-17 16:50:43 html http-headers meta owasp penetration-testing 前端开发

为什么要将 CSRF 令牌放入 JWT 令牌中?

我想对 Stormpath 帖子，解释将 JWT 存储在 localStorage 或 cookie 中的优缺点. [...] 如果您使用 JS 从 cookie 中读取值，这意味着您无法在 cookie 上设置 Httponly 标志，所以现在您网站上的任何 JS可以读取它，从而使其具有与存储完全相同的安全级别localStorage 中的一些东西. 我试图了解他们为什么建议将 xs ..

发布时间：2022-01-10 09:25:55 javascript cookies csrf jwt owasp 前端开发

playframework owasp 前 10 名

我正在考虑将 Play 用于大型项目，所以，有没有人经过实战测试的 OWASP 的 Play 框架 Top10?您知道 Play 框架中存在任何安全问题吗? 解决方案 On the OWASP Top 10 and Play (some info 这里): A1:注射 默认使用 JPA 并转义字符串 A2:跨站脚本 (XSS) 从 1.0.1 版本开始，Play 的 ..

发布时间：2022-01-02 21:46:28 java security scala playframework owasp Java开发

JSF 中的 CSRF、XSS 和 SQL 注入攻击预防

我有一个基于 JSF 构建的 Web 应用程序，其中 MySQL 作为数据库.我已经在我的应用程序中实现了防止 CSRF 的代码. 现在由于我的底层框架是 JSF，我想我不必处理 XSS 攻击，因为它已经由 UIComponent 处理了.我没有在任何视图页面中使用任何 JavaScript.即使我使用，我真的需要实现代码来防止 XSS 攻击吗? 对于数据库，我们在所有数据库交互中使用 ..

发布时间：2021-12-20 14:41:14 jsf xss sql-injection csrf owasp 其他开发

在 ZAP 工具中添加身份验证以攻击 URL

如何将身份验证详细信息传递给 ZAP 工具以扫描网站.请帮我解决问题. 解决方案 很老的问题，但问题来了. 最简单的方法是通过 ZAP 将您的浏览器设置为代理.在 Firefox 上，您可以访问: 选项 -> 高级 -> 网络 -> 设置. 选择手动代理配置并用运行 ZAP 的机器的地址(很可能是本地主机)和配置的 ZAP 端口填充 HTTP 主机. 您可以检查和配 ..

发布时间：2021-12-13 14:35:42 authentication session owasp zap penetration-testing 其他开发

为什么将 CSRF 预防令牌放在 cookie 中很常见?

我正在尝试了解 CSRF 的整个问题以及防止它出现的适当方法.(我已阅读、理解并同意的资源:OWASP CSRF 预防作弊表格，关于CSRF的问题.) 据我所知，CSRF 的漏洞是由以下假设引入的:(从网络服务器的角度来看)传入 HTTP 请求中的有效会话 cookie 反映了经过身份验证的用户的意愿.但是原始域的所有 cookie 都被浏览器神奇地附加到请求中，因此实际上所有服务器都可以从 ..

发布时间：2021-12-13 09:23:18 security cookies web csrf owasp 其他开发

PHP $_SERVER['HTTP_HOST'] 与 $_SERVER['SERVER_NAME']，我是否正确理解手册页?

我进行了大量搜索并阅读了 PHP $_SERVER 文档.我是否有权决定在我的 PHP 脚本中使用哪些用于整个站点中使用的简单链接定义? $_SERVER['SERVER_NAME'] 基于您的 Web 服务器的配置文件(在我的例子中是 Apache2)，并且取决于一些指令:(1) VirtualHost，(2) ServerName，(3) UseCanonicalName等 $_S ..

发布时间：2021-11-11 04:47:50 php apache security owasp PHP

如何解决OWASP ZAP报告的“alert(1);"XSS 漏洞

针对我们的应用程序运行 OWASP ZAP 扫描工具后，当该工具使用此字符串进行攻击时，我们发现了许多 XSS 漏洞: " onMouseOver="alert(1); 或 ;alert(1) 所以这样的字符串会出现在服务器响应中.虽然它在浏览器中没有做任何事情.可能是想给Html标签插入额外的属性，但是怎么解决? 解决方案 如果您可以发布有关注入攻击的 html，那么这可能就足够 ..

发布时间：2021-10-04 18:47:58 javascript xss owasp zap 前端开发

服务器 XSS 与客户端 XSS

服务器 XSS 和客户端 XSS 之间的区别的明确解释是什么? 我在 OWASP 的网站上阅读了说明，但对我来说不是很清楚.我知道反射的、存储的 DOM 类型. 解决方案 首先，为了让其他人发现问题，我们有来自 OWASP 跨站脚本类型页面: 服务器 XSS 当不受信任的用户提供的数据包含在服务器生成的 HTML 响应中时，就会发生服务器 XSS.的来源此数据可能来自请求 ..

发布时间：2021-10-04 18:47:24 xss owasp 其他开发

无法连接到 OWASP BWA 提供的 ip

我已经在 virtual box 中安装了 owasp bwa.当我运行虚拟机时，我得到了一个 IP 地址来连接.但是，当我尝试使用 http 访问它时://ip-address，连接失败.而且我无法从我的主机网络 ping 它. 解决方案 转到 VM 网络设置并将其更改为网桥适配器. ..

发布时间：2021-09-18 18:35:42 virtualbox owasp 其他开发

CSRFGuard - 请求令牌与页面令牌不匹配如何为每个会话生成令牌

我正在尝试合并 CSRFGuard 库()以纠正应用程序中的一些 CSRF 漏洞.但是在按指定配置此处后，我现在收到以下消息: 在这里我想解释一下当我收到这条消息时的场景 - 假设我的应用程序登陆页面是这样的 这个页面的代码片段(HelloWorld.jsp)是 ..

发布时间：2021-09-09 18:34:35 jakarta-ee tomcat7 csrf csrf-protection owasp 其他开发

在防御 DDOS 时，Apache2 mod_evasive 与 mod_security 与 OWASP crs?

美好的一天， 我在Tomcat前面运行Apache2服务器，我需要在Apache2层上实现DDOS保护机制.我有两个候选者:mod_evasive 和 mod_security2 与 OWASP 核心规则集. Mod_security 已经安装用于整体保护，但问题是:除了 mod_security 之外，是否值得为 DDOS 添加 mod_evasive(它有什么主要优势)或/expe ..

发布时间：2021-09-08 20:33:23 apache tomcat ddos owasp mod-security 服务器开发

Java 中的会话劫持预防 (Struts 2.0) |遇到错误

我正在用 Java 开发一个应用程序，该应用程序似乎存在会话劫持漏洞. 为了防止这种情况，建议在登录后为用户更改JSESSIONID 我的应用程序基于 Struts 2.0 和 Tomcat 7，我已经实现了一个代码来在用户登录后更改 JSESSIONID. 但是我在运行代码时遇到了以下问题. java.lang.IllegalStateException: setAttrib ..

发布时间：2021-08-31 19:35:34 java struts2 sessionid owasp session-hijacking Java开发

我可以在这个网站上做 sql 注入吗

我正在尝试从网站数据库中获取批量数据，但未能成功.有人可以建议 SQL 注入是否可能以及在这种情况下如何做. 解决方案 有很多方法可以对与您提供的网站类似的网站进行 SQL 注入. 在 where 子句中，它期望 ac_no.我假设这个值是作为用户输入从浏览器传递的.在这种情况下，您可以将 ac_no 值与 或 1 = 1 一起传递.例如 其中 ac_no = 123 或 1 = 1 ..

发布时间：2021-08-23 18:41:14 c# sql sql-injection owasp C#/.NET

如何禁用 ModSecurity:collection_store 写入 DBM 文件

收到此 ModSecurity 错误: ModSecurity: collection_store: 无法写入 DBM 文件“/tmp/default_SESSION":无效参数 没有与此错误相关的规则 ID.我知道我可以使用 通过规则 ID 禁用SecRuleRemoveById xxxxxx 如何禁用写入 DBM 文件和/或定位导致此错误的具体规则? 解决方案 集合由 mo ..

发布时间：2021-07-17 20:43:28 security owasp mod-security mod-security2 其他开发

保护应用程序免受 XSS

我们目前正在使用 OWASP Antisamy 项目来保护我们的应用程序免受 XSS 攻击.当任何给定的表单提交到服务器时，每个输入字段都会被清理.它工作正常，但我们在公司名称、组织名称等字段上有问题. 例如:对于 AT&T 转义符和公司名称显示错误(以转义字符显示). 我们手动更新数据库上的字段以解决此问题.然而，这是你可以想象的颈部疼痛. 有没有办法使用 OWASP anti ..

发布时间：2021-07-17 20:34:45 security xss owasp 其他开发