我尝试过许多不同的方法-- fileInfo,filestream等等。并且无法绕过File.Create(DirName & fileName)上的漏洞,或者这仅仅是一个假阳性?
DirName=ConfigurationManager.AppSettings("DirectoryName")
Dim fileName As String = PatientLastName & "_" & PatientFirstName & "_" & CurrentPatEntityID & ".pd
浏览 3提问于2014-11-05得票数 1
1回答
我正在用autohotkey中的一个简单的with服务器:。它不会受到路径遍历攻击。只要我不从客户端运行任何未经清理的代码,是否还有其他需要注意的基本攻击,如路径遍历攻击?
浏览 3提问于2010-01-18得票数 0
回答已采纳
1回答
我想保护我的应用程序不受csrf的影响,所以我添加了owasp.csrf.jar并按照描述的配置了我的应用程序,然后我用csrf令牌标记将隐藏字段添加到我的表单中,如下所示:
<input type="hidden" name="<csrf:token-name/>" value="<csrf:token-value/>" />
但是当我的页面呈现时,我在TokenNameTag.java中得到了
我错过了什么?
更新
堆叠痕迹:
2013-04-15 10:46:49,985 ERROR [org.apach
浏览 4提问于2013-04-15得票数 4
我正在试用WSO2身份服务器。
我下载了5.4.0版本,并使用wso2server.bat --run在我的Windows机器上启动了服务器。
如果我尝试使用默认凭据(admin / admin)登录到控制台,就会得到一个错误403 --禁止,控制台将显示以下消息:
WARN {org.owasp.csrfguard.log.JavaLogger} - potential cross-site request forgery (CSRF) attack thwarted (user:<anonymous>, ip:0:0:0:0:0:0:0:1, method:POST, uri
浏览 6提问于2017-12-18得票数 8
回答已采纳
2回答
网络安全入门材料
、、
可能重复: 学习有关安全性的资源
我可以学习什么材料来学习网页开发的安全性。我是一名web开发人员,我使用ASP.NET、Java、PHP和JavaScript。我想学习如何建立强大和强大的网站,不容易受到攻击。我想保护我的后端数据库。
浏览 0提问于2011-08-12得票数 7
回答已采纳
2回答
我在网上搜索了很多,没有找到任何直接回答我问题的东西。存在哪些类型的漏洞。我指的是缓冲区溢出之类的漏洞,而不是XSS或SQLi等。下面是我所知道的存在漏洞的简短列表:
缓冲区溢出(堆栈和堆)
整数溢出
格式字符串漏洞
访问控制问题
有人能在这张单子上加点什么吗?
浏览 0提问于2014-05-03得票数 0
回答已采纳
我试图使用NPM模块来突出我的web项目代码中可能存在的漏洞。我已经安装了0.0.18版本,最新版本。
我想分析我编写的自定义代码(目录src)和我的项目所依赖的库(目录node_modules)。
package.json (scripts部分)中的任务如下:
"test:dependency": "owasp-dependency-check --project \"MY_PROJECT\" --scan \"src\" --scan \"node_modules\" --exclude \"dependenc
浏览 3提问于2022-04-05得票数 1
回答已采纳
1回答
你好,我试图做一个CI / CD集成的zap上的gitlab。为此,我编写了以下代码,但在运行后不会生成报告。请你怎么做。扫描工作做得很好,但没有报告。
test_site:
stage: test
image: owasp/zap2docker-stable
when: always
script:
- mkdir -p /zap/wrk/
- zap-full-scan.py -t https://example.com -r report.html
- cp /zap/wrk/report.html .
artifacts:
when
浏览 9提问于2021-05-10得票数 0
如果我们有一个网页能够读取或删除某个文件夹中的文件(基于名称),例如:'public/upload/',我们必须使用哪种过滤来防止安全问题?
例如在Ruby/Sinatra中:
file_name = params[:file_name]
base_dir = 'public/upload/'
# prevent user from entering ../../../../../etc/passwd or any other things
file_name.gsub!('../','')
File.delete "#
浏览 1提问于2015-11-25得票数 0
1回答
我正在使用工具OWASP ZAP在asp.net核心web应用程序上运行笔测试。当我使用Owasp ZAP的windows应用程序运行测试时,测试运行得很好,并且给出了结果,但当我尝试使用命令行运行测试时,我看到了这个异常。
raise NewConnectionError(
urllib3.exceptions.NewConnectionError: <urllib3.connection.VerifiedHTTPSConnection object at 0x000001CCBD907D60>: Failed to establish a new connection: [Wi
浏览 81提问于2021-05-13得票数 1
回答已采纳
我有一个JSP,它获取存储在后端对象中的任意字符串;将其命名为${state.status.code}。
我想在单击表元素时将此字符串传递给函数;我使用onClick调用JS函数showStatus。放在一起看起来是这样的:
<c:set var="statusString" value="${state.status.code}" />
<td id="${rowId}"><a href="#"
class="pClass"
浏览 0提问于2017-03-22得票数 0
使用Java将资源推送到APIM2.0.0的注册表失败。
对APIM1.10.0使用的相同代码成功。
要复制的示例代码的类型如下
String tenantDomain = “mytenant.com";
String url = "https://localhost:9443/t/"+tenantDomain+"/registry";
String userName = “admin@mytenant.com";
String password = “admin";
System.se
浏览 4提问于2016-08-19得票数 1
1回答
1-谁能告诉我上传图片要申请的安全措施是什么
数据库,我刚刚写了这个脚本,我不知道它是否可以避免sql注入,甚至XSS攻击,
2-我不想允许执行任何扩展名为( php,html,cgi等)的文件,其中的图像文件夹将包含所有上传的图像,我只是不知道如何做到这一点,但我认为它必须与.htaccess完成
3-我应该在哪里找到我的web服务器上的图像文件夹,以避免任何攻击
有什么需要帮忙的吗,
<form method="post" action="index.php" enctype="multipart/form-data">
浏览 2提问于2013-02-26得票数 0
2回答
我正在寻找的网页应用程序,我可以尝试我的五官技能为我的论文。也许OWASP提供了一些,但我找不到任何。有人有主意吗?
浏览 4提问于2015-05-04得票数 0
回答已采纳
3回答
我正在试用OWASP/ZAP,看看它是否可以用于我们的项目,但我无法使它工作--我不知道我做错了什么,文档真的没有帮助。我正在尝试的是在windows机器上本地运行在码头容器中的api上运行扫描,所以我运行命令:docker run -v $(pwd):/zap/wrk/:rw -t owasp/zap2docker-stable zap-baseline.py -t http://172.21.0.2:8080/swagger.json -g gen.conf -r testreport.html,ip 172.21.0.2是api容器的IPAddress,甚至用localhost和127.
浏览 0提问于2019-02-14得票数 1
回答已采纳
10回答
我正在尝试使用ESAPI.jar为我的web application.Basically提供安全性,我刚刚开始使用ESAPI.jar。但问题是我甚至不能使用ESAPI运行一个简单的程序。下面的小代码片段是:
String clean = ESAPI.encoder().canonicalize("someString");
Randomizer r=ESAPI.randomizer();
System.out.println(r);
System.out.println(clean);
我得到了这个错误:
Attempting to load ESAPI.propert
浏览 23提问于2011-10-08得票数 22
回答已采纳
我想在esapi中为我的应用程序生成主密钥和MasterSalt。默认设置为
Encryptor.MasterKey=7AXyrRttFnPJHgzD/lTntA==
Encryptor.MasterSalt=tBp5pH+wXKHoICzUMLvnLQcncKE=
我试着根据上面提到的文档生成,但我得到了这个错误
E:\OWASP\esapi-2.1.0-dist>java esapi-2.1.0.jar -jar org.owasp.esapi.ESAPI
Error: Could not find or load main class esapi-2.1.0.jar
如果我做错了什
浏览 1提问于2014-01-21得票数 1
我有一个满是.data文件和.config/.config.example文件的目录。我需要使用木偶将所有的.data文件移动到我的系统上的一个不同的现有目录。我现在拥有的傀儡代码是不正确的,我相信--我做错了什么?
file { 'Owasp .data files':
ensure => directory,
path => '/etc/nginx/',
source => '/usr/src/SpiderLabs-owasp-modsecurity-crs-0475e92/',
recurse =
浏览 3提问于2016-11-01得票数 3
回答已采纳
2回答
我正在使用Wildfly 11和Java 8。我正在尝试部署一个包含多个WAR文件的EAR文件。我的一个WAR文件在它的web.xml中包含了这个...
<context-param>
<param-name>Owasp.CsrfGuard.Config</param-name>
<param-value>csrfguard.properties</param-value>
</context-param>
有问题的文件在我的WAR中,地址是
myapp.war/WEB-INF/classes/csrfgu
浏览 0提问于2018-02-08得票数 5
如果我的Restful不需要用户登录,那么下面的特性足以保证API的安全性:
我的API中只有一个get方法,没有put/delete方法。
查询是为MySQL参数化的。
用户输入被。
我有没有漏掉什么东西,如果是,请提出建议。
浏览 0提问于2019-04-05得票数 1
回答已采纳
我正在为我的项目使用ESAPI,并将ESAPI配置目录添加到src/main/resources中,以便将其复制到我的WAR文件中(我从cloudbees下载了WAR,可以看到它被放在WEB-INF/classes/esapi/目录中)
在本地,我只是指向目录所在的位置,并且所有操作都很好,但是在cloudbees上,它对我不起作用。
为了访问其属性,ESAPI项目尝试了各种方法,包括检查org.owasp.esapi.resources系统属性,因此我向cloudbees-web.xml添加了以下代码
<sysprop name="org.owasp.esapi.resourc
浏览 3提问于2012-09-13得票数 0
回答已采纳
我使用ESAPI jar进行验证。当我调用isValidInput(Context,input.trim(),ValidateConstant.APLHA_NUMERIC_TYPE,maxLength,true);或isValidInput(Context,input,ValidateConstant.NUMERIC_TYPE,maxLength,true)时,输入的特殊字符有误。然后它抛出一些类似于
org.owasp.esapi.errors.ValidationException: input: Invalid input. Please conform to regex ^[0-9]*
浏览 1提问于2015-01-29得票数 0
在基于servlet的应用程序中,我希望使用 session Redis进行会话复制。一切都很好,但对于csrf安全,我们使用的是owasp,在该流中,会话令牌将设置在HttpSessionListener.The令牌验证时丢失。
我尝试创建独立的代码来重现这个问题,我已经创建了SampleHttpListener并为会话设置了一些属性,但是在servlet级别上看不到这些值。
请告诉我我遗漏了什么或者其他什么方法。
我在这里添加了源代码,
浏览 2提问于2021-02-03得票数 1
1回答
我想知道我和我们的.NET/AngularJS网络开发者团队是否有任何与编写安全代码相关的免费认证,
这样我们就可以编写安全的代码,并向客户保证他们的应用程序的开发人员是“认证的”。
我主要是寻找免费(如果没有支付也是罚款)的互联网认证。
我也做过同样的搜索(并且知道OWASP,isc2.org,sans.org),但是我不知道哪一个是免费的,还是行业最好的。
任何帮助都是非常感谢的。
浏览 0提问于2016-09-14得票数 -3
我已经尝试了在网络cookie上启用CSRF属性的所有WSO2指南,并提交了认证端点webapp的GET方法的表单,但仍然无法达到效果。
在GET方法的响应中,我收到了authenticationendpoint的“Anti-CSRF令牌缺失”ZAP漏洞,因为它不包含响应正文的表单提交标记中的隐藏参数- csrf令牌。
引用的WSO2链接:
ZAP漏洞中提供的信息:
No known Anti-CSRF token [anticsrf, CSRFToken, __RequestVerificationToken, csrfmiddlewaretoken, authenticity_tok
浏览 2提问于2020-05-26得票数 1
package main
import (
"fmt"
"regexp"
)
func main() {
r, _ := regexp.Compile(`OWASP_CSRFTOKEN:([a-zA-Z0-9\-]+)`)
str := "OWASP_CSRFTOKEN:A-a-**\n**9-!OWASP_CSRFTOKEN:B-b-8-"
fmt.Printf("%q\n", r.FindString(str))
}
我在试着匹配一种模式。注意\n变量中的st
浏览 16提问于2020-07-19得票数 1
是否有任何模板或指南说明应如何记录威胁模型?
例如,基于云/第三方的即时消息服务面临什么样的威胁?你会以步幅(欺骗、篡改、否认、信息披露、DoS、提升)作为参照点吗?你需要什么样的图表?
希望获得一些总体指导,以帮助解释如何为基于第三方/云的消息传递服务生成威胁模型分析。
浏览 0提问于2016-11-14得票数 1
我正在尝试使用本教程安装/配置mod,它使用OWASP ModSecurity核心规则集。但是,当我重新启动apache时,会得到以下错误:
Syntax error on line 53 of /etc/modsecurity/base_rules/modsecurity_crs_20_protocol_violations.conf:
Error parsing actions: Unknown action: ver
Action 'configtest' failed.
The Apache error log may have more information.
..
浏览 0提问于2014-01-07得票数 1
回答已采纳
我有两个模块将使用具有相同属性文件的ESAPI (ESAPI和validation.properties)。
这些模块输出到包含在ear中的ear。
我在其中一个war文件中有属性文件,在服务器启动时可以找到它们。另一个war文件似乎工作正常,没有抱怨它无法在日志中找到属性文件。
我正在使用ESAPI对html和url参数进行清理--我想知道我是否甚至需要这些属性文件可以被第二个模块访问,或者因为没有配置,而且所有的操作都是用默认值完成的。
浏览 11提问于2016-08-24得票数 3
回答已采纳
1回答
我试图将依赖项检查添加到我的JenkinsFile中,但没有成功。
插件安装和配置完成。
全局刀具配置
名称: Vulnerability5
自动安装(检查)
版本:依赖-检查5.2.4
pipeline {
agent any
tools {
nodejs "node8"
dependency-check "vulnerability5"
}
stages {
stage('Install Deps') {
steps {
//I
浏览 3提问于2019-12-16得票数 2
我们使用nginx进行https流量卸载,代理到在端口8080上运行的本地安装的jasperserver (5.2)。
internet ---(https/443)---> nginx ---(http/8080)---> tomcat/jasperserver
当直接访问jasperserver的端口时,一切都很好。当通过nginx访问服务时,一些功能被破坏(例如在jasperserver UI中编辑用户),jasperserver日志包含如下条目:
CSRFGuard: potential cross-site request forgery (CSRF) attack th
浏览 9提问于2013-07-29得票数 10
回答已采纳
1回答
我正在为我正在使用的应用程序编写一个安全架构。我很难找到一个框架来完成这个任务。我可以找到许多框架,比如TOGAF和SABSA,它们可以与企业安全一起工作,但我的任务更适合于应用程序。有人用过这样的框架吗?
浏览 0提问于2013-12-15得票数 0
1回答
移动应用安全
、、
我们是否需要为那些用支持多平台编译的语言编写的应用程序(如更完整的程序)执行单独的戊out?它将带来多少价值,因为后端代码块和主要代码块是相同的,并且一些操作系统特定的配置是不同的。
浏览 0提问于2022-05-16得票数 2
1回答
我有一个在Jboss服务器下执行的应用程序。我前面有个Apache服务器。我的应用程序包含一个安全漏洞(XSS跨站点脚本)。
我想知道我必须修改代码(HTML,JavaScript,Java,.)?
如何确保我的应用程序安全?我是否设置了js框架来保护它?
是什么类型的XSS漏洞?
反射
是如何引入的,上下文是什么?
通过修改我的url引入
你在使用什么
框架?
支柱1
XSS由HTML代码执行,该代码由第三方引入并由应用程序执行。在下面的示例中,要调用添加了postscript警报(1)。它是在申请方制作的。
浏览 0提问于2016-02-22得票数 0
回答已采纳
2回答
网站安全检查表?
、、
我正在构建一个web服务(用于客户端的控制面板)( linux apache上的PHP),并试图从设计中使它尽可能地安全,
有人能给我提供一些我需要关注的事情的清单吗?
我已经实施了:
SQLi保护,
每个会话CSRF令牌,
使用php 5.5 password_hash将密码哈希存储到数据库中(通过need_rehash检查),
为所有垃圾邮件机器人添加了recaptcha,
用户的会话管理器(查看登录到我帐户的用户,关闭远程会话&如果有人访问了我的帐户,请发出警报)。
SSL证书,在HTTPS上完全通信。(我重定向了所有的http -> https)
问题:
我需要某种自动
浏览 0提问于2015-04-24得票数 3
我被要求写一篇关于安全性最佳实践的第一次技术审核,以提高PHP网站的安全性。
我想知道从哪里开始?是否有著名的审计表格来分析和评估网站的安全性?一个在线免费工具来做第一次检查?
该网站是一个非常基本的PHP开发。
浏览 0提问于2012-12-02得票数 1
回答已采纳
我正在开发OWASP 3.0,但是
java.lang.ClassNotFoundException: org.owasp.csrfguard.CsrfGuardHttpSessionListener。
我把这个jar保存在lib文件夹Owasp.CsrfGuard.jar .And中,在WEB Floder .Please中保存了csrfguard.properties,检查了下面的web.xml文件以进行配置。
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardServletCo
浏览 0提问于2015-12-04得票数 1
我想了解什么是CSRF漏洞。我在我的web应用程序中使用授权系统,并找到了CSRF。
我们应该做些什么来解决这个问题?
实际上,我想为这个漏洞创建模拟,但我并不完全理解。
浏览 0提问于2012-08-01得票数 1
回答已采纳
我的代码正在使用org.owasp.esapi 2.2.0.0,但是升级到2.2.3.1之后,我得到了ClassNotFoundException。
我的密码是:
Properties esapiProps = new Properties();
try {
esapiProps.load( SecurityUtil.class.getResourceAsStream("/ESAPI.properties") );
} catch (IOException | NullPointerException e) {
logger.log(
浏览 59提问于2021-07-08得票数 2
回答已采纳
在把这个问题标记为重复之前,让我告诉你这个问题有点不同。
我有一个包含三个模块的项目,即-ejb、-ear和-web on NetBeans。我目前正在-web模块上工作,直到昨晚,一切都很好,我做了一个工作项目的git commit,然后我在我的项目上做了一个清理,并在我的项目上构建了,因为我的互联网连接失败了。由于我使用的是来自OWASP的ESAPI,所以每次构建时都需要下载一些依赖项,而且由于我的internet连接中断,它无法构建。
今天,当我尝试使用一个可工作的internet连接进行清理和构建时,-web模块给出了有关maven依赖项的错误。
未能在项目Papercraft-we
浏览 1提问于2016-05-26得票数 1
回答已采纳
在这里有一个日益严重的问题,任何帮助都是很好的。基本上,我们的一个客户加强了他们的安全性并实现了OWASP (owasp.org)。现在,我们现有的一些网站功能在回发时会返回一个安全冲突。我将其中一个主要问题缩小到了Telerik RadTabStrip。一旦包含RadTabStrip条带的页面回发,OWASP就会返回一个安全冲突。不幸的是,我们无法访问日志,客户端给了我们一些代码片段,但它们似乎与SQL注入相关,也与视图状态的模式匹配有关。
然后,我创建了一个带有4个RadTab/RadPageViews的RadTabStrip的空白页面,每个都包含字母表中的一个字母和一个可以回帖的按钮。单
浏览 1提问于2012-07-10得票数 0
3回答
我正在编写一个正则表达式来获取""之间的数据。我遇到的唯一问题是最后一个"被捕获了。
line = '<DT><A HREF="https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html" ADD_DATE="1567455957">Clickjacking Defense · OWASP Cheat Sheet Series</A>'
capture_regex = r
浏览 0提问于2019-09-10得票数 1
回答已采纳
1回答
我用小提琴来分析网站的要求。下面的GET
GET https://tss.sfs.db.com/websso/sso_FallThrough.sso?Xe47eKuUc4rm2LW9V1BHSzU1....
返回
HTTP/1.1 302 Found
Date: Wed, 06 Jul 2016 16:13:19 GMT
Server: dweb
Set-Cookie: CTSESSION=AAAAAQABAHid6vs1jduDPC1Q9ItYbjKC6Ih4bImKPTYYA6fOLowLvtT%2FsUj%2F2o7kl4ovRmo8qfOQjQgx%2B%2BQL6%2F6sspncr
浏览 4提问于2016-07-06得票数 0
回答已采纳
1回答
在一边,我有:,这里我们声明字段为BYTEA,我们可以解密它,并且加密是在db级别的。
另一方面:在这里是varchar,我们只比较要授权的散列。
最后,Spring给出了 + char的秘密值,每个密码都是一样的吗?
哪种方法是最好的?(我倾向于Spring,因为据我所知,它在几行代码中封装了与OWASP类似的逻辑?)
浏览 2提问于2011-10-16得票数 1
回答已采纳
1回答
目前,我已经部署了ModSecurity作为反向代理来提供应用层安全。现在,我想为我所保护的所有web应用程序编写特定的应用程序规则,即Web应用程序的正/负安全模型。我的问题和怀疑是
是否有用于为Web应用程序编写安全配置文件的模板,即有关应用程序特定参数、应用程序特定头和应用程序结构的安全策略?简而言之,使用此概要文件,我想编写WAF规则并跟踪更改,即如果Web应用程序通过一些新特性得到增强,那么风险有多大。我还想与我的客户分享这个配置文件,以便遵循。
浏览 0提问于2013-01-18得票数 0
回答已采纳
1回答
我正在试图找到一些有意攻击的Flash应用程序,我可以在这些应用程序上进行安全测试(与类似该死的易受攻击应用程序一样)。
我注意到网络上有很多资源显示如何对SWF应用程序进行解译,或者如何利用Flashvars,但似乎没有任何有意攻击的Flash应用程序可以用于实践。
除了自己写一个之外,还有人有什么建议吗?
浏览 0提问于2018-02-11得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
