Domande con tag 'owasp-top-ten'

1
risposta

Un CSRF non autenticato è ancora un CSRF?

OWASP definisce Cross-Site Request Forgery (CSRF) come an attack that forces an end user to execute unwanted actions on a web application in which they're currently authenticated. (sottolineatura mia) Un esempio di attacco è il co...
posta 22.04.2017 - 13:01
7
risposte

Gli abbreviazioni URL sono "vulnerabili" a causa di reindirizzamenti aperti?

L'OWASP afferma che il reindirizzamento aperto è una vulnerabilità : An open redirect is an application that takes a parameter and redirects a user to the parameter value without any validation. This vulnerability is used in phishing a...
posta 06.06.2014 - 18:11
2
risposte

Quali vulnerabilità nella Top 10 di OWASP sono rilevanti per WordPress?

Ho esaminato la Top 10 di OWASP e mi chiedo quale dei 10 maggiori rischi per la sicurezza siano rilevanti per un'installazione di WordPress con vari plugin installati? So che le iniezioni e gli XSS sono importanti, ma che dire degli altri?...
posta 30.01.2013 - 10:00
2
risposte

In che modo la protezione contro gli attacchi insufficiente è una minaccia / un rischio definito per un'organizzazione?

Recentemente, OWASP ha introdotto due nuove serie di categorie dal 2017, ad aprile - al suo OWASP Top 10 : Protezione da attacchi insufficiente API non protette Comprendo, le API non protette hanno un rischio immediato che implica la d...
posta 12.04.2017 - 07:43
1
risposta

In che modo OWASP classifica i primi 10 rischi?

Leggevo articoli su OWASP A2 (2017) e la tabella di confronto sotto trovata. Una cosa che ho notato è che "Broken Account and Session Management" ha cambiato posto nel corso degli anni: Nel 2003 e nel 2004 era A3 . Nel 2007 era A7 . Ne...
posta 01.11.2017 - 08:35
3
risposte

Decidere il parametro dell'oscilloscopio CVSS v3 per alcune delle principali 10 vulnerabilità OWASP

Sto cercando di assegnare owasp top 10 su cvss v3 e ho difficoltà ad assegnare il parametro "scope" per alcuni. Correggi l'elenco qui sotto se ci sono dei difetti. Iniezione SQL: modificato. Componente vulnerabile: server Web / server di d...
posta 05.07.2016 - 14:28
2
risposte

Come classificare le vulnerabilità Web in un report?

Che cosa è un buon modo per classificare le vulnerabilità nei report sulla sicurezza IT. Supponendo che si tratti di ambienti basati sul web come: Siti Web, Applicazioni Web, Negozi web, Qualsiasi interfaccia che utilizza la tecnologia...
posta 19.06.2016 - 00:40
1
risposta

Quali altre vulnerabilità oltre alla directory traversal rientrano in IDOR?

La vulnerabilità più comune nella categoria OWASP Riferimento all'oggetto diretto non sicuro è l'attraversamento di directory. Quali sono le altre vulnerabilità che rientrano in questa categoria?     
posta 07.01.2017 - 08:11
1
risposta

Tipi di attacchi al di fuori di AppSec e di sistemi specifici del fornitore?

Sto leggendo su OWASP Top 10 per avermi aiutato a difendere la mia app web contro gli attacchi tipo "app sec" (SQL Injection, CSRF, ecc.). E in una domanda recente mi è stato chiesto di non utilizzare solo OWASP Top 10 per appsec vulns, ma anc...
posta 02.07.2012 - 14:49
3
risposte

Test per OWASP utilizzando componenti con vulnerabilità note?

Sto provando a pensare a come testare un'applicazione per OWASP "Uso di componenti con vulnerabilità note" . Se la mia comprensione è corretta, si tratta di molto con librerie / moduli non aggiornati, ma se si sta testando un'applicazione (e...
posta 16.05.2018 - 15:17