Вопросы, помеченные тегом «owasp»
Open Web Application Security Project (OWASP) - это организация, которая хочет информировать людей о безопасности приложений.
20 ноября 2021 в 18:13
85
1
Как возможна инъекция HTML в этом вызове domxss.com
Проведенное OWASP тестирование страницы внедрения HTML (ссылка) показывает определенный код, который предположительно уязвим для внедрения HTML.
<script src="../js/jquery-1.7.1.js"></script>
<script>
function setMessage(){
var...
29 июля 2021 в 15:50
196
1
Как выполнить проверку цепочки сертификатов на Android и iOS?
При тестировании безопасности нашего приложения возникла проблема безопасности, связанная с проверкой цепочки сертификатов. Это CWE-296 https://cwe.mitre.org/data/definitions/296.html
Насколько мне известно, добавление закрепления сертификата решает эту проблему, но я...
28 июля 2021 в 00:51
85
0
Оповещения о незакрытых объектах при сканировании CheckMarx
Я запустил SAST в своей кодовой базе и получил несколько предупреждений средней серьезности при сканировании Checkmarx, и в некоторых из них указано «Unclosed_Objects». Я не разбираюсь в этом вопросе. Любые указатели помогут мне.
Это дает предупреждения в этом разделе...
16 июля 2021 в 13:42
546
1
ESAPI 2.2.3.1 бросает org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException при использовании httpUtilities
Я использую ESAPI 2.2.3.1 и пытаюсь запустить этот код.
ESAPI.httpUtilities().setCurrentHTTP(request, response);
ESAPI.httpUtilities().sendRedirect(appURL);
ESAPI.httpUtilities().clearCurrent();
Я изменил имя приложения и Validator.Redirect в ESAPI.properties.
Когда я...
14 июля 2021 в 05:24
448
1
Аутентификация не происходит через изображение докера ZAP API Scan
Сначала я пытался аутентифицировать API через ZAP UI. У меня есть структура папок, которая имеет
Контекст, wrk->script->authentication->bearer-token.js, wrk ->script->httpsender->header-set-bearer-token.js, wrk ->script->zap_hooks.py.
Во время...
12 июля 2021 в 12:15
215
1
Базовое сканирование ZAP (OWASP) по определенному списку URL-адресов
Можно ли определить список URL-адресов, которые должен сканировать базовый уровень ZAP (https://www.zaproxy.org/docs/docker/baseline-scan/)? Поведение по умолчанию заключается в том, что он работает в течение одной минуты. Я хочу сканировать только 20 определенных...
7 июля 2021 в 17:38
262
1
Сканирование API не сканирует API из swagger-ui.html в OWASP ZAP
Я попробовал следующие команды
docker pull owasp/zap2docker-weekly
docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.conf -r testreport.html -z "-config...
6 июля 2021 в 16:45
73
1
Ограничение слишком быстро отправленных транзакций
В моем веб-приложении есть серверная часть, предоставляющая API, и внешнее приложение, которое их использует.
Согласно стандарту проверки безопасности приложений OWASP:
Приложение будет обрабатывать потоки бизнес-логики только в последовательном порядке.
порядок...
1 июля 2021 в 11:58
142
0
Как интегрировать задачу для выполнения сканирования OWASP ZAP с проверкой подлинности в конвейере выпуска Azure DevOps?
Требование состоит в том, чтобы выполнить сканирование OWASP ZAP для веб-сайта, для которого требуется проверка подлинности в конвейере выпуска Azure DevOps. Не удалось найти способы выполнить это для аутентифицированной веб-страницы. Пожалуйста, помогите мне в этом. Я...
1 июля 2021 в 10:21
226
1
Отказался отображать xyz во фрейме, потому что он установил X-Frame-Options - можно ли установить разрешенный домен?
Я разбираюсь с веб-сайтом, который скоро будет проверен на проникновение. Нас попросили добавить заголовок X-Frame-Options в конфигурацию нашего сервера. При добавлении следующего заголовка появляется сообщение об ошибке в console.log, где мы используем iframes
--...
30 июня 2021 в 15:27
140
1
Отчет OWASP ZAP представляет угрозу безопасности в 2 API Firefox (https://location.services.mozilla.com и https://ftp.mozilla.org)
Я выполняю ZAP-сканирование своего веб-приложения и обнаруживаю пару уязвимостей, связанных с внутренним API-интерфейсом Mozilla. Я не вызываю его из своего apis
Неверная междоменная...
30 июня 2021 в 09:31
294
1
Контроллер входа Nginx Modsecurity (набор правил OWASP) с высокой задержкой
В нашей среде AWS EKS я развернул контроллер входа Nginx через helm, следуя официальному руководству по установке Nginx и добавив yaml configmap, который включает безопасность Waf modsecurity в этом входе с набором правил OWASP v3.3.0. Он стоит за aws nlb
Похоже, что...
29 июня 2021 в 08:46
177
2
Modsecurity — заблокировать request_uri, но вернуть код 200
Я действительно новичок в modsecurity, и у меня есть некоторые проблемы с пониманием редактирования правил.
Мне нужно вернуть 200 на запросы, поступающие от определенной конечной точки, которая начинается с /myendpoint/, но я все еще хочу запретить конечной точке...
24 июня 2021 в 10:56
120
1
Пассивное сканирование в аутентификации OWASP ZAP
Я пытаюсь понять, как работает пассивное сканирование и как я могу применить его в моем случае использования.
Я проиллюстрировал свою установку ниже:
Клиент может аутентифицировать себя на прокси-сервере с помощью базовой аутентификации или SAML. Все запросы будут...
24 июня 2021 в 06:31
203
1
Что это означает на практике: «Требования к ограничению бизнеса уникальных приложений должны обеспечиваться моделями предметной области».
Относительно OWASP A5:2017-Broken Access Control, что означает цитата в названии? Акцент на «Бизнес-лимит уникальных приложений» - часть.
22 июня 2021 в 15:18
43
1
Как просмотреть журнал ошибок процесса для Jenkins Config Save/Apply?
Я пытаюсь интегрировать прокси OWAZP как postBuild. Когда я ввожу все данные в раздел конфигурации OWASP для MAVEN PROJECT, он показывает ошибку «Проблема, возникшая при обработке вашего запроса», но я не могу выяснить причину этого. Пожалуйста, помогите мне узнать...
22 июня 2021 в 11:33
14
0
Как генерировать данные для методов POST, PUT, PATCH в тестах OWASP?
Как я могу подготовить данные для методов POST, PUT и PATCH в тестах OWASP? Прямо сейчас я импортировал openAPI с данными по умолчанию (пример свойства), но во время активного сканирования я все время получал статус 400, и ничего не проверялось. Это вызвано нарушением...
18 июня 2021 в 17:01
564
0
Аутентификация OWASP ZAP Proxy на основе сценария — как автоматизировать
Я пытаюсь автоматизировать реализацию docker ZAP-прокси для работы с некоторыми из моих веб-приложений на основе токенов, которые используют Amazon Cognito для аутентификации и авторизации.
Поскольку целевому приложению требуется токен в виде заголовка Authorization, в...
17 июня 2021 в 10:11
117
1
Как запустить ajax-сканирование OWASP ZAP в Github Workflow?
У меня запущен рабочий процесс OWASP Zap, и я пытаюсь добавить сканирование ajax, добавив "-j", таким образом:
uses: zaproxy/action-full-scan@v0.2.0
with:
target: "https://example.com/"
cmd_options:
# use the Ajax spider in addition to the...
17 июня 2021 в 06:51
231
1
Правила пассивного сканирования ZAP являются частью сканирования даже после их отключения
Я использую образ докера ZAP для сканирования API. Я отключил некоторые правила пассивного сканирования в скрипте Python zap_started. Тем не менее, они перечислены как часть итогового отчета.
Скрипт для отключения правил пассивного сканирования:
pscan_id_list = [10003,...