Domande con tag 'owasp'

domande con tag
2
risposte

Qual è la differenza tra il controllo di accesso interrotto e il riferimento a oggetti diretti non sicuri? [chiuso]

Se ho capito bene, la differenza principale è che l'utente deve essere loggato per eseguire un attacco di riferimento agli oggetti diretti non sicuro, ma non deve essere loggato per sfruttare un attacco di controllo degli accessi danneggiato....
posta 02.05.2014 - 09:13
2
risposte

Come dovrei interpretare, "i controlli di accesso sul livello di presentazione sono applicati sul lato server?

Questa domanda riguarda lo standard OWASP (le regole di controllo dell'accesso sul livello di presentazione vengono applicate sul lato server - OWASP ASVS 3.0 - 4.9) Sto cercando di capire profondamente cosa significa in modo che io possa com...
posta 31.10.2018 - 12:22
1
risposta

Quali parametri possono essere utilizzati per configurare l'autorizzazione sensibile al contesto?

Riconosco che l'autorizzazione sensibile al contesto alle applicazioni è un buon controllo di sicurezza, ma al momento posso solo pensare che la posizione sia un esempio di un contesto sensibile. Non considero il tempo un contesto sensibile,...
posta 31.10.2018 - 12:32
1
risposta

Ho perso i miei file di dati personalizzati per OWASP ZAP (Forced Browse) - dove trovo i dati in ZAP?

Lo strumento usato per essere chiamato dirbuster. Ho importato le mie liste e ho perso i file sorgente. Non riesco a esportare le liste di parole da ZAP. Come posso trovare i dati in ZAP in modo da poter ricreare i file sorgente?     
posta 15.08.2018 - 14:10
1
risposta

Informazioni su OWASP 2017 A8 Deserializzazione non sicura

Sto leggendo su Insecure Deserialization e ho ricordato una vulnerabilità di cui ho letto in alcune implementazioni JSON Web Token (JWT) su auth0. link link Per farla breve, viene utilizzato l'algoritmo "nessuno", la firma vien...
posta 11.07.2018 - 16:41
1
risposta

Come reindirizzare qualsiasi risposta a una posizione arbitraria nell'editor di richieste di OWASP ZAP?

Sto cercando di trovare XSS memorizzato in un'applicazione. Fortunatamente, l'applicazione mi consente di inserire e modificare la descrizione di me stesso che viene visualizzata a chiunque visiti il mio profilo. Il luogo in cui modifico la...
posta 20.07.2018 - 18:25
1
risposta

OWASP bruteforce ZAP con password non nome utente

Voglio rinforzare una pagina di accesso usando OWASP ZAP, utilizzando due password separate (90 righe) e un nome utente (200 righe), con le richieste POST bruteforce da ordinare con una password come: user001:pass00 user002:pass00 .... user200...
posta 05.11.2016 - 07:20
2
risposte

Serve aiuto per capire le vulnerabilità di OWASP [chiuso]

Sto facendo un white paper sulla semplificazione delle vulnerabilità di OWASP 10 sulla base di un articolo suggerito dai nostri insegnanti. Ragazzi, potete aiutare o fornire più risorse qui? Quali sono le tue opinioni? Mi piacerebbe intervistare...
posta 07.07.2016 - 13:08
0
risposte

Aggiungi i token CSRF per formare automaticamente i tag: Spring

Nel framework Spring, c'è un modo per aggiungere automaticamente un token CSRF a tutti i tag del modulo? magari usando [1] o in un altro modo, ma non utilizzando un tag modulo personalizzato che inserisca il token CSRF quando viene utilizzato...
posta 17.12.2018 - 21:07
0
risposte

OWASP Timeout gateway ZAP?

Sto cercando di configurare ZAP per l'esecuzione come parte della mia definizione di build in TFS. Ogni volta che la build è in esecuzione, posso vedere che la chiamata sta raggiungendo ZAP e lo spider inizierà la scansione. Sembra che abb...
posta 07.08.2018 - 17:08