Domande con tag 'owasp'

domande con tag
0
risposte

Filtro XSS Input validazione fallita potenziale vulnerabilità?

Stavo testando un filtro XSS di un server web basato su java. Quasi tutto è stato sfuggito, ma quando ho digitato \" (backslash backslash double quote), il sistema ha generato un errore, "Input validation failure". Fortunatamente, la tracci...
posta 19.05.2018 - 06:33
0
risposte

Non dovrei seguire i consigli XSS basati su OWASP DOM, non importa dove viene iniettato il carico utile?

Ho sentito / letto in vari contesti che l'XSS basato su DOM è causato da input lato client non attendibili e gli sviluppatori devono seguire le istruzioni su OWASP " Foglio trucchi XSS basato su DOM " per mitigarlo. La mia domanda è: non dovr...
posta 11.05.2018 - 22:34
0
risposte

Come posso eseguire la scansione di WebGoat7.1 con OWASP ZAP

Sto cercando di fare una presentazione su come scansionare un sito web usando OWASP ZAP 2.7.0 e sto cercando di usare WebGoat7.1 come obiettivo per questo scopo. Vorrei prima usare lo scanner AJAX per scoprire tutte le pagine delle lezioni in mo...
posta 19.02.2018 - 10:28
0
risposte

Come eseguire OWASP ZAP automaticamente usando le operazioni a riga di comando (ad es. Jenkins)

Sto cercando di eseguire OWASP ZAP automaticamente usando le opoerazioni della riga di comando. Ho provato a utilizzare l'APi come descritto qui , ma sto ricevendo questi errori . Ho anche provato con zapr , ma mostra anche l'errore come p...
posta 09.08.2017 - 11:08
0
risposte

OWASP-ZAP e DVWA Login

Ho bisogno di fare un pentest dell'applicazione DVWA. Per fare ciò, ho scelto lo strumento OWASP-ZAP. Ho seguito tutti i passaggi di questo tutorial . Ma quando provo a eseguire lo "spider" il programma non trova tutte le pagine, quindi quando...
posta 30.05.2016 - 14:01
1
risposta

OWASP + Atomic ModSecurity Rulesets - Troppo?

Cerchiamo di implementare alcune regole aggiuntive mod_sec sul nostro server. OWASP e Atomic continuano a venire come il meglio del meglio. Sarebbe saggio implementare entrambi? O l'uno o l'altro sarebbe sufficiente per la conformità PCI?     
posta 24.04.2015 - 01:54
1
risposta

fuzzing xss mutillidae con OWASP ZAP

Sto giocando con XSS fuzzing e trovo il proxy zap molto buono, dal momento che sono in grado di utilizzare l'opzione fuzz. Non ho burp pro, quindi non posso importare liste in ripetitori. Il mio problema è che sono in grado di provocare manualme...
posta 06.10.2018 - 10:13
1
risposta

attacco o vulnerabilità di sql injection? Dove posso trovare l'elenco delle vulnerabilità delle applicazioni Web e dei tipi di attacco? [chiuso]

Non riesco a separare i rischi di sicurezza di Top-10 OWASP, Sql Injection è un attacco o una vulnerabilità? Se Sql injection è un tipo di attacco dell'applicazione web (e altri rischi di sicurezza owasp), allora dove posso trovare l'elenco dell...
posta 26.05.2017 - 10:36