首页 文章
  • 1 votes
     answers
     views

    拒绝显示在框架中,因为祖先违反了以下内容安全策略指令

    我正在开发一个salesforce应用程序,它在salesforce页面的iframe中呈现 . 使用node express server呈现此页面 . 作为安全审查的一部分,我想只在salesforce页面中进行渲染,如果嵌入其他任何地方则阻止 . 为此,我添加了content-security-policy标头,如下所示: response.header("Content-Secu...
  • 3 votes
     answers
     views

    ZAP中的NTLM身份验证

    我正在尝试使用ZAP对REST Api进行一些渗透测试 . Api使用Windows身份验证[domain \ username]并在本地托管在特定端口上 . 首先,我使用postman进行测试,尝试连接并发出示例请求 . 我的配置看起来像这样: 我决定在OWASP zap中复制这个设置 . 我设置了我的用户: 然后我在会话属性中设置身份验证选项: 和会话管理选项: 尝试在ZAP中执行主...
  • 1 votes
     answers
     views

    CVE映射到Java库

    有dependency-check-maven插件,用于检查我的Java项目中的第三方依赖项是否已知漏洞 . 问题在于,由于CVE不包含库的唯一标识符,因此该插件具有大量误报(并且很可能是错误否定) . 例如,最近的Spring漏洞CVE-2018-1275包含标识符 cpe:2.3:a:pivotal_software:spring_framework:*:*:*:*:*:*:*:* versi...
  • 3 votes
     answers
     views

    防止OWASP十大漏洞的最佳图书馆/实践

    我正在寻找ASP.Net中最好的可重用库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,以及易于使用的工具来检测这些漏洞供测试团队使用 . 您认为在开发生命周期中何时开始将安全编码合并到应用程序中的最佳时机?
  • -1 votes
     answers
     views

    Windows Phone 7安全问题

    在开发移动应用程序时,我一直在考虑 OWASP Top 10 Mobile Risks 以了解安全问题 . 他们提供了有关Android和iOS平台的非常好的信息 . 一些值得注意的包括客户端注入,iOS滥用URL方案,Android滥用意图,击键记录,截图/ iOS背景,日志等 . 这些非常有用,现在我想知道 if there are any new vulnerabilities that e...
  • 0 votes
     answers
     views

    Spring Security - CSRF - 如何重置CSRF令牌并记录潜在的CSRF攻击(OWASP推荐)

    我们在我们的应用程序中使用Spring Security框架,尤其是防止它反对CSRF攻击 . 在OWASP document about CSRF attacks prevention cheat sheet中,他们讨论了同步器令牌模式 . 因此,当提供错误的CSRF令牌时,他们建议: 中止请求 重置CSRF令牌 将事件记录为正在进行的潜在CSRF攻击 我做了一个测试,提供了一个...
  • 1 votes
     answers
     views

    CSRFGuard并保护电子邮件中发送的页面链接

    我们实施了OWASP的CSRFGuard来保护我们在Web应用程序中的页面 . 例如* / myCsrfProtected.jsp . 我们在应用程序中出现的所有* / myCsrfProtected.jsp中都注入了CSRF令牌 . 一切正常 . 但是,我们还有其他用例,其中指向此受保护页面的链接将通过电子邮件发送给用户 . 想一想报告的链接 . 现在,当用户点击此链接时,令牌丢失或无效,因此C...
  • 2 votes
     answers
     views

    将REST服务的CSRF令牌包含为Http响应头是否安全?

    我有一组受CSRF保护的REST服务,使用类似于OWASP的Synchronizer Token Pattern(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet) . *使用Java和JAX-RS实现REST 使用Spring Security CSRF令牌实现安全性...
  • 1 votes
     answers
     views

    提交multipart formdata时丢失了OWASP CsrfGuard令牌

    我已经在现有的Struts 1.1应用程序上实现了OWASP CsrfGuard 3过滤器,它适用于每个请求,除了具有文件上载字段和enctype =“multipart / form-data”的表单 . 控制台上记录以下消息“错误:请求中缺少必需的令牌” . csrf标记已添加为表单上的隐藏字段,并在浏览器中查看页面源时存在 . 如果我从表单中删除文件字段并从html:Form标签中删除enc...
  • 0 votes
     answers
     views

    同步器令牌模式:它如何阻止XSS和CSRF的组合?

    我一直在研究OWASP建议,以防止CSRF攻击(https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet) . 现在,我不明白这是如何防止XSS和CSRF攻击相结合的攻击 . 假设我们有以下攻击情形: 攻击者能够执行存储的XSS攻击,以便每次用户访问该页面时都会执行攻击者在...
  • 1 votes
     answers
     views

    带有JSF ajax请求的OWASP CSRF令牌

    我们使用OWASP CSRF后卫保护了我们的网站,并配置了TokenPerPage = true . 我们使用JSF 2.0(myfaces)进行前端开发 . 除非我们使用JSF ajax(),否则每个东西都可以正常工作 . 当我们从页面提交ajax请求时,ajax请求成功但是 subsequent Http Request fails with a message (“潜在的跨站点请求伪造(C...
  • 1 votes
     answers
     views

    如何使用protected-views处理JSF 2.2应用程序中的“登陆页面”

    有没有办法在JSF 2.2应用程序中声明登录页面 . OWASP CSRF-Gurad_3为此提供了一个登陆页面令牌,用于处理缺少CSRF预防令牌的请求,如下所示 . [..]将丢弃与原始请求一起发送的所有查询字符串或表单参数 . 如果未定义此属性,CSRFGuard将自动将用户发布到原始上下文和servlet路径 . 以下配置代码段指示OWASP CSRFGuard在用户访问受保护资源时将用...
  • 190 votes
     answers
     views

    为什么在CSR中放置CSRF预防令牌很常见?

    我'm trying to understand the whole issue with CSRF and appropriate ways to prevent it. (Resources I'已阅读,理解并同意:OWASP CSRF Prevention CHeat Sheet,Questions about CSRF . ) 据我了解,CSRF的漏洞是通过假设(从Web服务器的角度来看)...
  • 0 votes
     answers
     views

    访问OWASP CSRFGuard的Restful Service受到不同域的保护

    我的应用程序是使用SPRING MVC构建的,我暴露了一些Restful URI . (Working Fine) 例如 - http://example.org/alert/alerts //获取登录用户的警报列表 . 我已按照链接使用OWASP CSRFGuard为跨站点请求伪造(CSRF)配置了应用程序 - (Working Fine) https://www.owasp...
  • 2 votes
     answers
     views

    Spring后端的REST安全CSRF保护 - 将Synchronizer Token Pattern传输到客户端

    我读了很多关于Spring Securitys CSRF保护的内容,但我还是有点挣扎 . 现在文档像往常一样很棒,但它完全基于你在服务器上呈现html代码并且能够为每个表单添加隐藏字段的想法 . 现在,因为我使用AngularJS和JavaScript来调用后端,所以这不是一个真正的选择 . 那么在这种情况下实际获取令牌到客户端的最佳方法是什么(Rest Backend / AngularJS前端...
  • 0 votes
     answers
     views

    Extjs Hidden Iframe请求缺少OWASP CSRF令牌

    最近我们实施了 OWASP CSRF 安全令牌概念来处理 CSRF 攻击 . 我使用下面的链接作为参考来实现 https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project https://github.com/aramrami/OWASP-CSRFGuard pom.xml <dependency> <g...
  • 0 votes
     answers
     views

    CSRF Guard对Grails AJAX的要求

    我很难让CSRF Guard在我的Grails应用程序中处理Ajax请求 . 我已经在页面中添加了Javascript Servlet,并按照其网站上的说明进行操作 . 问题是它一直说我丢失了令牌 . 除此之外,我们的Ajax请求不在表单中,我认为CSRF会查找表单并自动为Ajax POST请求注入令牌 . 我只是获取每个参数并将其作为我的Ajax POST请求中的数据传递 .
  • 2 votes
     answers
     views

    使用API调用进行ZAP身份验证

    我正在使用ZAP API调用来使用命令行测试站点 . 但即使我遵循正确的步骤,我的用户身份验证也有问题 . 但是当蜘蛛作为用户时,我仍然无法设法通过登录页面 . 以下是我要介绍的步骤 . 1.包含在上下文中(context / includeContext) 2.更改认证方法以形成基础 . (authentication / setAutenticationMethod)这里我只传递contex...
  • 17 votes
     answers
     views

    在ZAP工具中添加身份验证以攻击URL

    如何将身份验证详细信息传递给ZAP工具以扫描网站 . 请帮我解决问题 .
  • 1 votes
     answers
     views

    OWASP ZAP身份验证 - 无法使用zap / zap停止它

    我无法通过登录页面获得zap . 它只关注登录和忘记的密码表单 . 我已经关注了各种官方HOWTO和FAQ但是即使我删除了 zap 用户,它仍然在尝试登录时使用 login_id=ZAP&password=ZAP . 我处于标准模式,强制用户模式,强制用户定义,登录和注销字符串定义 - 我尝试过其他人 . 登录表单目标网址: https://xxx.yyy.net/affiliate_l...
  • -2 votes
     answers
     views

    OWASP zap python api身份验证

    我想首先说我喜欢这个工具,如果你熟悉Zap,API就会以一种非常容易理解的方式编写 . 我遇到的唯一麻烦是我找不到关于python API的很多文档,所以我已经离开了源代码并验证它对应用程序的工作原理 . 我已经能够提取扫描并设置上下文,但我似乎无法正确地从身份验证模块中调用任何内容 . 我相信,我的一个问题是,在调用函数时,我并不完全确定要使用的确切变量或它们各自的格式 . 下面是我一起报废的一...
  • 0 votes
     answers
     views

    JSON请求未使用zap身份验证进行配置 .

    我正在使用ZAP安全测试工具 . 但是在通过JSON请求的用户名和密码进行身份验证时,我遇到了配置这些问题的问题 . 我也检查了所有链接和博客 . 但我无法得到正确的逐步解决方案 . 请求代码:- {"userName":"cwc_patna","password":"33a0d2e93e0ad396b7c9374bbbc83a...
  • 0 votes
     answers
     views

    使用OWASP ZAP进行ZEST脚本身份验证

    我试图了解如何使用ZEST脚本记录登录 . 记录步骤后,如何重用它?我尝试了多次,但我无法正确地做到这一点 .
  • 1 votes
     answers
     views

    OWASP ZAP - 错误的NTLM挑战顺序 - 不按顺序的NTLM响应消息

    我需要有关NTLM身份验证配置的帮助 . 我目前正在使用OWASP ZAP测试AJAX Web应用程序 . 可以通过HTTPS访问应用程序并启用NTLM身份验证 . 当我运行扫描时,ZAP没有保持正确的NTLM协商顺序 . The expected way of NTLM connection is: 客户端发送GET以接收网站 服务器发送WWW-Authenticate:Negoti...
  • 3 votes
     answers
     views

    如何在角度页面中设置CSRF令牌 - OWASP CSRFGuard 3.0

    我使用Spring MVC来构建我的restful服务:http://localhost:8088/SpringRestCSRF/rest/rest/greeting 我正在使用OWASP CSRFGuard 3.0来保护CSRF中的这些Restful服务 . 使用简单的HTML - AJAX请求访问相同的Rest服务时 - CSRF令牌已设置,我收到响应: 下面的代码工作正...
  • 12 votes
     answers
     views

    WinForms应用程序的常见漏洞

    我不确定这是否在主题上或者不在这里,但它是如此特定于.NET WinForms我相信它在这里比在Security stackexchange站点更有意义 . (此外,它与 secure coding 严格相关,我认为这与任何询问我在整个网站上看到的常见网站漏洞的问题一样 . ) 多年来,我们的团队一直在对网站项目进行威胁建模 . 我们的模板的一部分包括OWASP Top 10以及其他众所周知的漏洞...
  • 0 votes
     answers
     views

    声纳扫描器设置为多模块项目的单独依赖检查报告

    我有多模块项目设置 . 由于我的项目没有设置Jenkins / Maven,我使用CLI分别获取每个模块的依赖关系报告,并将它们复制到根据其模块命名的根项目文件夹 例如: D: MyProject --module1 --src --module2 --src --dependency-check-module1-report --dependency-check-r...

热门问题