Open Web Application Security Project(OWASP)是一个想要告知人们应用程序安全性的组织。网站http://owasp.org。
org.owasp.esapi.reference.DefaultEncoder与org.owasp.encoder.Encode
org.owasp.esapi.reference.DefaultEncoder和org.owasp.encoder.Encode类都提供了一些VeraCode支持的清理函数,用于解决潜在的跨站点脚本(XSS)......
我有一些用户输入。在我的代码中,我确保以下符号被转义:& - >&< - > <> - >> OWASP声明有更多的字符...
所以我发现一个购物网站的旧http页面没有任何过滤发生。使用代理,我可以将任何我想要的东西注入页面,它反映在应用程序的响应中。 ...
我在基于j2ee的web应用程序中上传了一个xsd,它是生成java类的,后来用于处理。上传xsd已被确定为可用于XML外部实体...
我正在开发一个Web应用程序。现在从安全角度来看,密码在从客户端发送到服务器时需要盐水哈希。现在我的问题是,如果我随机生成一个......
我正在运行netspark漏洞测试,它标记在url http:// localhost:54923 / search /'ns ='netsparker(0x005AAD)我无法理解'ns ='netsparker(0x005AAD)是这部分...
如何使用com.sun.org.apache.xerces.internal.parsers.SAXParser在SAXBuilder中禁用XML外部实体(XEE)处理
这是我的片段:public static SAXBuilder createBuilder(@NotNull final String schemaPath){final SAXBuilder builder = new SAXBuilder(“com.sun.org.apache.xerces.internal.parsers.SAXParser”,...
ESAPI.encoder()。canonicalize&json string
当使用ESAPI.encoder()。规范化json字符串时输入:{“key1”:“some data b \”h“}输出:{”key1“:”somedata b“h”}输出不再有效json字符串。我怎么能保持......
我有一个关于用于xss保护的owasp ESAPI接口的问题。为了保持简单而简单,我正在使用fortify进行源代码审查。应用程序实现ESAPI并调用...
当我使用代码SY-UNAME ==“anyname”并提供任何用户名的值时,它会给我后门注入漏洞。有什么办法可以解决这个问题吗?
如何为html和javascript设置X-Content-Type-Options和X-Frame-Options?
当我们在ZAP工具上测试我们的URL时,我收到以下警报:X-Frame - 选项标题未设置Web浏览器XSS保护未启用X-Content-Type - 选项标题丢失我们已成功设置...
我使用OWASP ZAP扫描我开发的应用程序。扫描报告列出了漏洞(如果有)。如果没有,则不打印任何内容。 ZAP是否提供了通过的测试列表?如何获得这样的......
我有应用程序,客户可以存储以下html行,以便为实际浏览器加载不同的样式:
什么是“X-Content-Type-Options = nosniff”?
我正在使用OWASP ZAP对我的localhost进行一些渗透测试,并且它一直报告此消息:Anti-MIME-Sniffing标头X-Content-Type-Options未设置为'nosniff'这...