Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。
OWASP DependencyTrack 中的 tomcat-embed-core 漏洞
我们使用 OWASP DependencyTrack 来跟踪 Spring Boot 应用程序中的漏洞。 SBOM 是使用 https://github.com/CycloneDX/cyclonedx-gradle-plugin 生成的,并包含 emb 的条目...
我可以使用 CSRF 令牌作为 OAuth 流程中状态参数的值吗?
在实现 Azure OAuth 流程时,我使用了状态参数,Azure 文档介绍了状态参数: 请求中包含的值也会在令牌响应中返回。它可以是一个字符串...
我在构建管道中包含了依赖项跟踪: mvn cyclonedx:makeAggregateBom 依赖项轨道:upload-bom 我的maven项目配置如下: io.github。
无法发送 zap-api-scan.py 的自定义标头,标头在 options.prop 中声明
无法发送 zap-api-scan.py 的自定义标头,标头在 options.prop 中声明 我想使用 zap 扫描需要授权和 X-api-key 标头的 REST API 端点。 要指定...
如何重新编译Android应用程序,将LeakCanary添加到apk中?
在 OWASP MASTG 中,据说您可以通过重新编译应用程序并将其与 LeakCanary 一起使用来测试内存损坏错误 动态分析 需要采取多种步骤: 如果是自然...
安全扫描警告:“在 DNS 查找请求后通过 HTTP 标头注入进行外部服务交互”
我们的 Java 应用程序的安全扫描给出了以下警告: 检查应用程序端点以确保对可能影响外部服务调用的所有输入执行输入验证/
我正在尝试在 Angular 项目中使用它: https://owasp.org/www-project-dependency-check/ 我们使用 https://jeremylong.github.io/DependencyCheck/data/da... 中解释的数据库服务器方法
我正在对启用 OAuth 的应用程序进行 CASA Tier 2 安全自我评估,我们已请求 Google 批准该应用程序。我正在使用 Fluid Attacks 独立扫描工具 (gitlab:fluidattacks/universe@...
我们正在使用 OWASP 依赖检查。这是一个很棒的工具,但它报告了很多漏洞。其中很大一部分是误报。我们可以使用抑制文件来抑制它们,但是使用
OWASP 依赖检查:将 modelVersion 版本添加到依赖检查报告
我在多模块项目中使用 OWASP 依赖检查的 Maven 插件。 目前,依赖检查提供的 XML 报告只包含以下信息,不在...
owasp-dependency-check: JavaScript 代码没有被分析
我正在尝试使用 NPM 模块 owasp-dependency-check 来突出显示我的 Web 项目代码中可能存在的漏洞。我已经安装了最新的版本 0.0.18。 我要分析...
我正在开发一个使用 composer 的 php 项目,但是一些依赖项非常旧,包括 php 版本。我们正在努力说服客户升级 php 和
我发现有一个Java项目的OWASP依赖检查工具:https://www.owasp.org/index.php/OWASP_Dependency_Check 我在 Scala 项目上尝试了该工具,但找不到任何依赖项。 是
我正在将 owasp 依赖项工具与 retirejs 一起使用,我试图弄清楚如何在我的构建中排除整个文件夹。现在我有它 依赖检查{ 输出目录 = "${
WAF Modsecurity 审计日志——如何在 DetectionOnly 模式下识别可疑请求
我们在 nginx 中启用了 modsecurity,modsecurity 配置了“SecRuleEngine DetectionOnly”以阻止任何请求以识别被实际请求阻止的可疑请求...
使用 owasp-java-encoder 时如何防止编码 JSON 字符串?
我正在使用 owasp-java-encoder 对来自客户端(前端)的用户输入进行编码,然后再将其传递到我的后端控制器/服务器,以防止通过输入字段注入任何代码,但我面临的是......
假设应用程序也在使用 json 内容类型和反 csrf 令牌,在这种情况下如何使用 cors 执行 csrf。 假设应用程序正在使用 json 内容类型和反 csrf 令牌
CWE-366 应用程序正在以某种方式使用共享资源 MessageFormat.format,这不是线程安全的
分析代码质量的工具抱怨 MessageFormat.format 不是线程安全的。示例如下: @覆盖 公共字符串 toString() { 返回 MessageFormat.format("
我是网络安全领域的新手,我正在尝试破解 OWASP 的 docker 容器 juice-shop 作为培训: OWASP 果汁店。 我试图用九头蛇暴力破解登录页面,但九头蛇只是返回......
在我的项目中,我想通过使用 dependency-check-maven 插件来检测漏洞: 所以我在 POM.XML 中添加了这段代码 在我的项目中,我想使用 dependency-check-maven 插件来检测漏洞: 所以我在 POM.XML 中添加了这段代码 <build> <plugins> <plugin> <groupId>org.codehaus.mojo</groupId> <artifactId>sonar-maven-plugin</artifactId> <version>3.2</version> </plugin> <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>1.2.8</version> <executions> <execution> <phase>package</phase> <goals> <goal>check</goal> </goals> </execution> </executions> <configuration> <failBuildOnCVSS>6</failBuildOnCVSS> <format>ALL</format> <outputDirectory>${dependency.check.report.dir}</outputDirectory> </configuration> </plugin> </plugins> 当我执行命令时mvn clean package 结果:在我的项目的文件夹目标中生成了两个文件 dependency-check-report 和 dependency-check-vulnerability 但它们的内容是这样的: Scan Information (show all): •dependency-check version: 1.2.8 •Report Generated On: déc. 9, 2019 at 14:19:59 GMT+01:00 •Dependencies Scanned: 78 •Vulnerable Dependencies: 0 •Vulnerabilities Found: 0 •Vulnerabilities Suppressed: 0 所以当我看到控制台消息时,我找到了消息 [INFO] Copying webapp resources [C:\Users\ychakir\master\contraste-server\contraste-war\src\main\webapp] [INFO] Webapp assembled in [6238 msecs] [INFO] Building war: C:\Users\ychakir\master\contraste-server\contraste-war\target\contraste-war-1.0.0-SNAPSHOT.war [INFO] [INFO] --- dependency-check-maven:1.2.8:check (default) @ contraste-war --- dÚc. 09, 2019 2:22:04 PM org.owasp.dependencycheck.Engine analyzeDependencies GRAVE: No documents exist` 你有什么想法请告诉我吗? 提前谢谢你 您可以采用另一种方法来运行dependency-check-maven,方法是使用此命令直接调用它,here: mvn org.owasp:dependency-check-maven:check 当然,使用这种方法,依赖性检查不会作为构建的一部分运行。但它可以节省您将其添加到您的 pom.xml 中的努力。