Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。
我正在为我的应用程序使用在 k8s 入口中定义的 ModSecurity WAF。 配置如下: nginx.ingress.kubernetes.io/enable-owasp-core-rules:“true” nginx.i...
您好,如何解决尝试使用完整扫描 Docker 映像生成 OWASP ZAP 报告时出现权限被拒绝的错误
我尝试使用此阶段在 Jenkins 中使用完整扫描 Docker 映像生成 ZAP 的 HTML 报告: stage('OWASP ZAP 全面扫描') { 脚步 { 脚本 { sh“sudo docker ru...
我在我的Android项目中使用https://github.com/dependency-check/dependency-check-gradle。 我想排除这些依赖项的地方 ant-1.10.9.jar (pkg:maven/org.apache.ant/[email protected], cpe:2.3:a:
OWASP ZAP 中的“Out of Scope”和“Out of context:”是什么意思?
我已经完成了我的申请的自动扫描。不幸的是,我发现扫描后的 URL 列表上有一些对 URI 的 GET 请求,这些请求标记为“Out of Context&...
需要什么样的用户权限才能使用 OWASP ZAP 扫描 Salesforce URL?
我们需要扫描指向 Salesforce 组织的 URL。因此,我们需要提供对要由 OWASP ZAP 扫描的组织的访问权限。所以问题是:需要什么级别的用户访问权限?母鹿...
我目前正在撰写一篇比较 Web 应用程序安全 (WAS) 测试工具的论文。我正在努力确定使用哪些指标进行比较。您能为 metr 提供任何建议吗...
OWASP 依赖项检查是在我们的项目中自动发现漏洞的好方法,但当将其作为每个项目 CI 管道的一部分运行时,仅下载 NVD 就会增加 3-4 分钟时间
owasp ESAPI的encodeForSQL方法使用Codec DB2Codec来保护SQL注入
我正在尝试保护服务器代码免遭 SQL 注入。 为此,我使用了 ESAPI.encoder().encodeForSQL 方法和 Codec DB2Codec,因为我的数据库是 DB2。 但是上述方法的输出...
我需要将放心测试的流量传递给 Zap 代理。我已经配置了 zap 代理,如下图所示,它对于 Https 请求效果很好: 然而,当我尝试发送 HTTP 请求时...
我不知道为什么Amass只显示2个命令。收集枚举和英特尔。为什么?在github上有超过2个命令。 我的第二个问题,FQDN、管理和其他 Amass Enum 结果是什么?谢谢...
OWASP ZAP - 当没有登录 URL 时如何进行身份验证,因为表单是通过动态弹出窗口显示的?
我不知道任何打开或访问动态弹出窗口的方法。 我检查了替代验证方法,但我认为它们在这里不起作用。我是这个工具的新手,但如果我能解决这个问题...
我在手动探索模式下启动 ZAP,并启用 HUD。我登录到正在测试的页面,但现在所有 HUD 选项都消失了(就好像 HUD 已关闭)? 如何将 HUD 重新打开...
如何对 Angular 项目运行安全检查或如何对 Angular 项目运行 OWASP 依赖项检查
没有获得为 Angular 项目运行 OWASP 依赖项检查的确切程序,如果有人建议一步一步的程序,这将会很有帮助。
Postman 无法使用相同的代理配置发送到 OWASP ZAP
我正在尝试做漏洞扫描API。但是当我使用 post 方法发送邮递员时,它不会被 OWASP ZAP 检测到或不会发送到 OWASP ZAP。 我尝试使用 IP 127.0.0.1 但 OWASP ZAP d...
如何为 JavaScript XSS 测试创建“不安全”环境
我正在学习 XSS 安全性以及如何预防它。为此,我想创建有漏洞的代码,然后看看如何添加安全措施来修复它。 我创建了一个接受
用于为 Azure 应用程序网关部署 WAF 策略的 Bicep 代码
我正在尝试使用 bicep 为应用程序网关部署 WAF 策略。它应包含 OWASP 规则集 3.2。我的代码如下: 参数 wafPolicyName 字符串 = 'mypolicy' 参数位置字符串 = '
OWASP ESAPI 无法找到我的 ESAPI.properties 文件,尽管它存在于目录中
我在配置 ESAPI 以使其与我的 Spring Boot Web 应用程序(maven 项目)一起使用时遇到问题。 我正在使用此网址寻求帮助:https://web.archive.org/web/20161005210258/http://code.google.co...
https://jeremylong.github.io/DependencyCheck/general/suppression.html 中的文档显示了如何选择匹配包 url 以抑制误报。 ‘@’在哪里...
有什么办法可以将 Owasp Zap 安全测试工具与 Cypress 集成吗?
如何在Java中使用org.owasp.encoder.Encode?
public static void sendEmail(String to, String cc, String subject, String content) throws IOException { LOG.info(ESAPIValidation.sanitizeParam((String.format("EmailUtil.sendEMail()) 至:...