Domande con tag 'owasp'

domande con tag
1
risposta

Un CSRF non autenticato è ancora un CSRF?

OWASP definisce Cross-Site Request Forgery (CSRF) come an attack that forces an end user to execute unwanted actions on a web application in which they're currently authenticated. (sottolineatura mia) Un esempio di attacco è il co...
posta 22.04.2017 - 13:01
2
risposte

Come disattivare i test automatici in OWASP ZAP?

Sto cercando di scoprire come disattivare lo scanner automatico in ZAP. Non sono nemmeno sicuro se sia acceso. Come e dove posso sapere se lo scanner è acceso? Voglio solo che sia un proxy puro per il momento a scopo di test.     
posta 13.06.2016 - 10:48
2
risposte

Perché OWASP ASVS richiede che le risposte HTTP abbiano un'intestazione di contenuto che specifica un set di caratteri?

Lo standard di verifica della sicurezza delle applicazioni OWASP ( ASVS ), versione 3, afferma nella clausola V11.2: Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8, ISO 8859-1)....
posta 04.05.2016 - 21:38
2
risposte

In che modo la protezione contro gli attacchi insufficiente è una minaccia / un rischio definito per un'organizzazione?

Recentemente, OWASP ha introdotto due nuove serie di categorie dal 2017, ad aprile - al suo OWASP Top 10 : Protezione da attacchi insufficiente API non protette Comprendo, le API non protette hanno un rischio immediato che implica la d...
posta 12.04.2017 - 07:43
1
risposta

Bypass char filtering - sicurezza shephard

Sono bloccato nella parte XSS dell'applicazione sicurezza shephard OWASP. Non sto cercando qualcuno che mi dica la soluzione, ho solo bisogno di imparare come trovarlo da solo, sono un po 'arrugginito su XSS. Quindi quello che so finora. sos...
posta 20.04.2016 - 01:52
1
risposta

Impostazione dell'autenticazione ZAP OWASP

Quindi recentemente ho lavorato ai test di sicurezza con OWASP ZAP. Tuttavia ho colpito un blocco stradale nel senso che non riesco a far provare lo spider (ajax) all'interno di un'area autorizzata dell'applicazione singola pagina. Ho esamina...
posta 24.11.2015 - 23:32
2
risposte

Come convertire i punteggi di rischio (CVSSv1, CVSSv2, CVSSv3, rischio di rischio OWASP)?

Esiste un metodo o una formula accurata per convertire i punteggi di rischio tra il metodo di valutazione del rischio OWASP (livello di rischio generale) e il punteggio base CVSS v1, v2 e v3)? Oltre a convertire i punteggi tra le diverse vers...
posta 17.06.2016 - 16:36
2
risposte

Elenco dei principali scenari di rischio / attacco di sicurezza per l'applicazione Android [chiuso]

Quali sono i possibili rischi per la sicurezza / scenari di attacco per l'applicazione Android. Questo è per quanto riguarda le principali minacce OWASP Mobile Security discusse qui: link Vorrei sapere quale dei dieci e se applicabile come...
posta 30.05.2012 - 09:23
1
risposta

In che modo OWASP classifica i primi 10 rischi?

Leggevo articoli su OWASP A2 (2017) e la tabella di confronto sotto trovata. Una cosa che ho notato è che "Broken Account and Session Management" ha cambiato posto nel corso degli anni: Nel 2003 e nel 2004 era A3 . Nel 2007 era A7 . Ne...
posta 01.11.2017 - 08:35
1
risposta

Mod_security per Apache2 blocca cURL!

Sto cercando di far tornare i miei utenti lat. e lng. dal loro indirizzo utilizzando l'API di geocodifica di Google, ma quando mod: la sicurezza è abilitata, la impedisce e lo script scade. Come posso aggiungere un'eccezione per IP o dominio per...
posta 26.06.2011 - 01:16