Domande con tag 'owasp'

domande con tag
0
risposte

Guida alla prova OWASP Equivalente per applicazioni desktop [chiusa]

Mi stavo chiedendo se qualcuno di voi conosce una guida simile alla OWASP Testing Guide ma intesa specificamente per le applicazioni desktop? Non ho avuto fortuna a cercare su Internet. Sto cercando qualcosa che si concentri su o includa i...
posta 18.10.2018 - 22:25
0
risposte

Come verificare se l'esecuzione del comando remoto "/ run timeout / T 5" ha funzionato sulla pagina HTML?

Stavo effettuando la scansione di un sito Web utilizzando Zed Attack Proxy, quando ho scoperto che è vulnerabile all'esecuzione di comandi da remoto, in particolare timeout con l'intestazione Referer (mostrata nella richiesta seguente). Non ho i...
posta 26.01.2016 - 17:08
0
risposte

ZAP e Tamper Data non ricevono richieste POST

Ho appena iniziato ad apprendere il proxy ZAP OWASP usando Webgoat. Li sto eseguendo sul mio Mac. Ho configurato Zap per ascoltare il mio Firefox, ma sono solo in grado di inviare richieste HTTP GET, non ci sono richieste POST. Ho anche pr...
posta 28.01.2016 - 16:52
0
risposte

Consigli su se dovrei parlare al mio gruppo di utenti locali su NIST, InfoSec etc [chiuso]

Da un po 'di tempo mi stavo occupando dell'idea di fare il mio primo intervento, nel mio ultimo progetto stavo creando un portale di gestione dei rischi per la sicurezza delle informazioni, quindi ho dovuto leggere tutto sui framework di gestion...
posta 20.11.2014 - 15:03
3
risposte

Owasp La scansione attiva di Zap danneggia il database

Voglio integrare i test di sicurezza OWASP Zap nella mia catena di integrazione continua usando il plugin Jenkins ufficiale. Tuttavia, poiché inietta i carichi utili dannosi nel database, non voglio che il database si corrompa! Ed è un enorme...
posta 11.07.2017 - 09:13
3
risposte

Test della configurazione del firewall dell'applicazione Web (ModSecurity)

Qual è il modo migliore di testare la mia configurazione del firewall poiché ho distribuito il set di regole fondamentali fornito da OWASP. Ma la mia configurazione delle regole mi dava troppi falsi positivi risolti eliminando molte delle regole...
posta 01.11.2012 - 08:11
2
risposte

Dopo una scansione completa delle vulnerabilità del Web, è necessario testare ogni singolo campo per eventuali iniezioni?

Ho eseguito una scansione zap per il mio progetto e ho trovato alcuni media e amp; vulnerabilità di basso livello. Ma passando attraverso alcuni post, ho scoperto che dovremmo eseguire iniezioni (sql, xss, command) anche sui campi di testo. M...
posta 02.02.2018 - 01:44
2
risposte

OWASP ESAPI Implementazione PHP per attacchi XSS

Ho cercato estensivamente materiali validi per la prevenzione degli attacchi XSS usando OWASP ESAPI, ma non ho trovato alcun materiale per principianti. Qualcuno può darmi un esempio di come funziona?     
posta 14.10.2014 - 10:43
1
risposta

OWASP ESAPI .NET Edition è realmente utilizzato? Questo progetto è ancora vivo?

Ho appena visto che l'ultima versione è stata eliminata nel 2009 e questo ha sollevato i miei dubbi.     
posta 06.10.2014 - 23:01
1
risposta

Il progetto OWASP Zed Attack Proxy ha un elenco di tutte le vulnerabilità che cerca di trovare / sfruttare?

Sto provando a compilare un elenco di vulnerabilità che ZAP prova a trovare quando esegui "Active Scan" in modalità ATTACK su una webapp. Questa lista esiste nella documentazione dovunque? Se ha anche una lista di tutti gli input che prova sareb...
posta 14.02.2018 - 20:03