Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。
如何在Java中使用org.owasp.encoder.Encode?
public static void sendEmail(String to, String cc, String subject, String content) throws IOException { LOG.info(ESAPIValidation.sanitizeParam((String.format("EmailUtil.sendEMail()) 至:...
尝试运行命令 npm 时出现此错误: 果汁店@9.3.1开始 节点应用程序 信息: ./package.json 中的所有依赖项均已满足(确定) 节点:符号查找错误:/home/kali/Downloads/juice-
我想使用 ZAP 工具执行扫描并使用 CI 管道生成报告。 .Net Web API 接受请求并返回 XML 格式的响应。 API 工作正常。 每当我运行 ZAP 工具时...
如何在 Apollo-Server 中使用 CSRF 令牌?
我们目前正在为客户开发一个全球内容/电子商务平台。 该网站在 Next.js 上运行,并有一个 Apollo 服务器作为 API 网关,它与 Next.js 在同一服务器上集成运行
我开始自动扫描我的测试站点。 然后我手动探索它来测试操作,自动扫描没有找到。 这些操作在“历史记录”选项卡中可见。 我存储了
当使用 OWASP Zap 的自动扫描选项时,您需要提供要攻击的 URL。这将根据所选选项抓取并攻击所提供的 URL。 但是,这通常是登录页面。鉴于...
无法运行 OWASP dependencyCheck 并抛出以下错误 id 'org.owasp.dependencycheck' 版本 '9.0.5' ./gradlew dependencyCheckAnalyze 区域 [NODEAUDIT] :不存在且已处置
如何使用OWSAP检查XXE(XMLExternal enitites)漏洞
我是安全测试新手,您能否帮助我了解如何使用 OWASP ZAP 查找 Xml 外部实体 我应该采取什么步骤?我已经查看了这些教程,但它们对...
我正在从文档页面运行示例扫描: docker run --rm -v /home/zap:/zap/wrk/:rw -t ghcr.io/zaproxy/zaproxy:stable zap-full-scan.py -t https://www.example.com -r测试报告.html 扫描...
我正在尝试通过 ZAP 自动化一些安全测试,我想知道是否有任何可能的方法可以在自动化场景中使用 ZAP 附加组件:令牌生成和分析? 我检查过...
SPA:结合 OAuth 授权代码流程和 PKCE 进行客户端会话处理
我们有单页应用程序 (SPA) 和 OAuth 身份验证。 我们将使用 PKCE 的授权代码流,因为它被认为是客户端身份验证的最安全方法。 但是...
我将 ZAP 与 Jenkins 集成。如果我扫描我的应用程序,我可以在控制台输出中看到 4 个警报,但在报告中将警报显示为 2 个。 我不确定我的配置是否有任何错误...
OWASP ZAP 基线扫描在 CI/CD 管道中返回意外错误 1
我在管道中使用 OWASP 的 docker 映像来扫描我的 Web 应用程序并生成 HTML 报告,我遇到了一个我花了一整天时间试图解决的问题。 运行扫描作业时...
IIS 上的 OWASP ModSecurity 2.9 导致 403 禁止
我有一个托管在 IIS 上的 ASP.NET Core 3.2 Web 应用程序。我的网站托管在使用 Plesk 的共享环境中。当我查看 Web 应用程序防火墙页面时,它显示核心规则集为“...
我有 <%@taglib prefix="e" uri="https://www.owasp.org/index.php/OWASP_Java_Encoder_Project" %> 也只是为了测试 <%@ taglib prefix="c" uri="http://
如何在 gradle 中强制传递依赖项(netty-codec-http)的特定版本?
我尝试对 netty-codec-http 库使用版本 4.1.100.Final,因为 OWASP 依赖项检查器将 netty* 依赖项标记为“高”。它是由 amazon s3 依赖项拉出的。这是我的...
用于 CSRF 预防的同步器令牌模式的 OWASP 描述(此处)指出: 对于同步令牌模式,不应使用 cookie 传输 CSRF 令牌。 我的理解...
在我的一个减轻 XSS 攻击的应用程序中,我使用 OWASP 的 html 编码器,但不幸的是这还不够。 渗透测试人员发现了反映的跨站点脚本威胁,其中...
我正在使用 OWASP sanitizer 对输入数据进行一些清理。以下是我使用的政策 返回新的 HtmlPolicyBuilder() .allowElements("a", "标签&...
我必须在我的经典 ASP 应用程序中设置 requireSSL 标志。 是否可以使用 HTTP 响应标头配置在 IIS 中设置它? 我已经在 IIS 中配置了“X-Frame-Options”,所以我...