Вопросы, помеченные тегом «owasp»

Open Web Application Security Project (OWASP) - это организация, которая хочет информировать людей о безопасности приложений.
avatar
Black Wind
20 ноября 2021 в 18:13
220
1

Как возможна инъекция HTML в этом вызове domxss.com

Проведенное OWASP тестирование страницы внедрения HTML (ссылка) показывает определенный код, который предположительно уязвим для внедрения HTML. <script src="../js/jquery-1.7.1.js"></script> <script> function setMessage(){ var...
avatar
Jigar
29 июля 2021 в 15:50
229
1

Как выполнить проверку цепочки сертификатов на Android и iOS?

При тестировании безопасности нашего приложения возникла проблема безопасности, связанная с проверкой цепочки сертификатов. Это CWE-296 https://cwe.mitre.org/data/definitions/296.html Насколько мне известно, добавление закрепления сертификата решает эту проблему, но я...
avatar
sromit
28 июля 2021 в 00:51
122
0

Оповещения о незакрытых объектах при сканировании CheckMarx

Я запустил SAST в своей кодовой базе и получил несколько предупреждений средней серьезности при сканировании Checkmarx, и в некоторых из них указано «Unclosed_Objects». Я не разбираюсь в этом вопросе. Любые указатели помогут мне. Это дает предупреждения в этом разделе...
avatar
ronell
16 июля 2021 в 13:42
585
1

ESAPI 2.2.3.1 бросает org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException при использовании httpUtilities

Я использую ESAPI 2.2.3.1 и пытаюсь запустить этот код. ESAPI.httpUtilities().setCurrentHTTP(request, response); ESAPI.httpUtilities().sendRedirect(appURL); ESAPI.httpUtilities().clearCurrent(); Я изменил имя приложения и Validator.Redirect в ESAPI.properties. Когда я...
avatar
Apurva
14 июля 2021 в 05:24
489
1

Аутентификация не происходит через изображение докера ZAP API Scan

Сначала я пытался аутентифицировать API через ZAP UI. У меня есть структура папок, которая имеет Контекст, wrk->script->authentication->bearer-token.js, wrk ->script->httpsender->header-set-bearer-token.js, wrk ->script->zap_hooks.py. Во время...
avatar
Nils Langner
12 июля 2021 в 12:15
250
1

Базовое сканирование ZAP (OWASP) по определенному списку URL-адресов

Можно ли определить список URL-адресов, которые должен сканировать базовый уровень ZAP (https://www.zaproxy.org/docs/docker/baseline-scan/)? Поведение по умолчанию заключается в том, что он работает в течение одной минуты. Я хочу сканировать только 20 определенных...
avatar
Apurva
7 июля 2021 в 17:38
298
1

Сканирование API не сканирует API из swagger-ui.html в OWASP ZAP

Я попробовал следующие команды docker pull owasp/zap2docker-weekly docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-weekly zap-api-scan.py -t https://dummyexample.com/swagger-ui.html -f openapi -g gen.conf -r testreport.html -z "-config...
avatar
Unnikrishnan
6 июля 2021 в 16:45
106
1

Ограничение слишком быстро отправленных транзакций

В моем веб-приложении есть серверная часть, предоставляющая API, и внешнее приложение, которое их использует. Согласно стандарту проверки безопасности приложений OWASP: Приложение будет обрабатывать потоки бизнес-логики только в последовательном порядке. порядок...
avatar
Sneha Dominic
1 июля 2021 в 11:58
169
0

Как интегрировать задачу для выполнения сканирования OWASP ZAP с проверкой подлинности в конвейере выпуска Azure DevOps?

Требование состоит в том, чтобы выполнить сканирование OWASP ZAP для веб-сайта, для которого требуется проверка подлинности в конвейере выпуска Azure DevOps. Не удалось найти способы выполнить это для аутентифицированной веб-страницы. Пожалуйста, помогите мне в этом. Я...
avatar
Zabs
1 июля 2021 в 10:21
260
1

Отказался отображать xyz во фрейме, потому что он установил X-Frame-Options - можно ли установить разрешенный домен?

Я разбираюсь с веб-сайтом, который скоро будет проверен на проникновение. Нас попросили добавить заголовок X-Frame-Options в конфигурацию нашего сервера. При добавлении следующего заголовка появляется сообщение об ошибке в console.log, где мы используем iframes --...
avatar
Chandan
30 июня 2021 в 15:27
169
1

Отчет OWASP ZAP представляет угрозу безопасности в 2 API Firefox (https://location.services.mozilla.com и https://ftp.mozilla.org)

Я выполняю ZAP-сканирование своего веб-приложения и обнаруживаю пару уязвимостей, связанных с внутренним API-интерфейсом Mozilla. Я не вызываю его из своего apis Неверная междоменная...
avatar
Rubenoh
30 июня 2021 в 09:31
330
1

Контроллер входа Nginx Modsecurity (набор правил OWASP) с высокой задержкой

В нашей среде AWS EKS я развернул контроллер входа Nginx через helm, следуя официальному руководству по установке Nginx и добавив yaml configmap, который включает безопасность Waf modsecurity в этом входе с набором правил OWASP v3.3.0. Он стоит за aws nlb Похоже, что...
avatar
Rokam
29 июня 2021 в 08:46
212
2

Modsecurity — заблокировать request_uri, но вернуть код 200

Я действительно новичок в modsecurity, и у меня есть некоторые проблемы с пониманием редактирования правил. Мне нужно вернуть 200 на запросы, поступающие от определенной конечной точки, которая начинается с /myendpoint/, но я все еще хочу запретить конечной точке...
avatar
acGunner
24 июня 2021 в 10:56
153
1

Пассивное сканирование в аутентификации OWASP ZAP

Я пытаюсь понять, как работает пассивное сканирование и как я могу применить его в моем случае использования. Я проиллюстрировал свою установку ниже: Клиент может аутентифицировать себя на прокси-сервере с помощью базовой аутентификации или SAML. Все запросы будут...
avatar
mortar-1
24 июня 2021 в 06:31
208
1

Что это означает на практике: «Требования к ограничению бизнеса уникальных приложений должны обеспечиваться моделями предметной области».

Относительно OWASP A5:2017-Broken Access Control, что означает цитата в названии? Акцент на «Бизнес-лимит уникальных приложений» - часть.
avatar
Anand Sathiyaseelan
22 июня 2021 в 15:18
72
1

Как просмотреть журнал ошибок процесса для Jenkins Config Save/Apply?

Я пытаюсь интегрировать прокси OWAZP как postBuild. Когда я ввожу все данные в раздел конфигурации OWASP для MAVEN PROJECT, он показывает ошибку «Проблема, возникшая при обработке вашего запроса», но я не могу выяснить причину этого. Пожалуйста, помогите мне узнать...
avatar
UngaBunga007
22 июня 2021 в 11:33
42
0

Как генерировать данные для методов POST, PUT, PATCH в тестах OWASP?

Как я могу подготовить данные для методов POST, PUT и PATCH в тестах OWASP? Прямо сейчас я импортировал openAPI с данными по умолчанию (пример свойства), но во время активного сканирования я все время получал статус 400, и ничего не проверялось. Это вызвано нарушением...
avatar
Bhoj
18 июня 2021 в 17:01
592
0

Аутентификация OWASP ZAP Proxy на основе сценария — как автоматизировать

Я пытаюсь автоматизировать реализацию docker ZAP-прокси для работы с некоторыми из моих веб-приложений на основе токенов, которые используют Amazon Cognito для аутентификации и авторизации. Поскольку целевому приложению требуется токен в виде заголовка Authorization, в...
avatar
schoon
17 июня 2021 в 10:11
152
1

Как запустить ajax-сканирование OWASP ZAP в Github Workflow?

У меня запущен рабочий процесс OWASP Zap, и я пытаюсь добавить сканирование ajax, добавив "-j", таким образом: uses: zaproxy/action-full-scan@v0.2.0 with: target: "https://example.com/" cmd_options: # use the Ajax spider in addition to the...
avatar
Pradeep
17 июня 2021 в 06:51
257
1

Правила пассивного сканирования ZAP являются частью сканирования даже после их отключения

Я использую образ докера ZAP для сканирования API. Я отключил некоторые правила пассивного сканирования в скрипте Python zap_started. Тем не менее, они перечислены как часть итогового отчета. Скрипт для отключения правил пассивного сканирования: pscan_id_list = [10003,...