1回答
我负责一些面向公众的web应用程序,我想测试这些用户名枚举风险,如测试用户枚举和可猜测的用户帐户(OWASP 002)所解释的OWASP项目。这些应用程序是基于.NET的网站,其标准登录由用户名/密码和通常的密码重置功能组成。什么是测试用户
浏览 0提问于2016-09-19得票数 2
回答已采纳
1回答
OWASP中的基本授权
、、、
我需要通过OWASP工具攻击端点(got 2.5.0版本)。我通过邮递员测试了端点。我已经获得授权类型: Basic,用户名:exampleUserName,密码: examplePass。请您给我一些提示,请问如何在OWASP中设置基本的Auth?4)右键单击端点,选择Atack操作
浏览 8提问于2017-02-13得票数 1
在通过owasp zap扫描https网站时,我发现用户名和密码信息没有加密。原因是什么以及如何解决。请看下面的ZAP截图。
📷
浏览 0提问于2019-07-25得票数 0
OWASP果汁商店:有效载荷:SELECT * FROM accounts WHERE username='' AND password=''‘OR 1=1 --此外,在Mutillidae中,我们必须在用户名和密码</
浏览 11提问于2022-07-23得票数 0
回答已采纳
我是web开发的新手,我正在尝试根据OWASP备忘单:忘记密码备忘单实现密码重置功能。
备忘单建议在表单提交并发送到服务器时不要将用户名作为参数发送。相反,应该将其存储在服务器端会话中。但是,我不知道该如何做,因为为了能够以这种方式存储用户名,用户需要输入他/她的用户名,并在某个时候将其发送到服务器,对吗?为什么不将它与用户回答安全问题的表单一起发送呢?还是我只是理解错了?
浏览 0提问于2020-06-21得票数 27
回答已采纳
那个虔诚的家伙告诉我,它是受限制的,因为它通过明文传递人们的用户名和密码。我想他指的是使用它连接到不安全的telnet服务器,但我不会使用它,而是使用它来进行一些快速的TCP检查。我还注意到,OWASP在文档中引用了这样的操作。https://www.owasp.org/index.php/Test_HTTP_方法_(OTG-CONFIG-006)
我漏掉了什么,客户有安全问题吗?
浏览 0提问于2018-06-15得票数 1
回答已采纳
4回答
在进行身份验证时,是否应该记录具有无效用户名的尝试?OWASP日志记录备忘单说,必须始终记录身份验证失败。我可以观察到几个这样的程序,包括Linux上的login:碰巧,我意外地在用户名字段中输入了密码(web)应用程序应该总是记录无效的用户名吗?为什么一个身份验证系统只记录有效用户名的无效身份验证尝试是不够的?
浏览 0提问于2013-03-24得票数 11
1回答
加盐哈希密码身份验证
、、、
我一直在阅读OWASP 10,我偶然发现了存储信息的最佳实践。加盐的哈希。您为每个密码生成一个随机的盐,并对其进行梳理、散列和存储。我的疑问是,如果盐是随机生成的,那么当用户键入密码时,如何验证密码?盐是否与用户名一起保存?如果是这样的话,这种做法仍然是脆弱的。或者他们是怎么做到的?
浏览 46提问于2020-09-16得票数 0
A10:2017-伐木和监测不足
这是OWASP十大漏洞之一。如果我们能够充分地记录和监视,那么如何才能防止攻击--例如,在几次尝试中猜测用户名和密码的攻击?
浏览 0提问于2021-08-09得票数 0
回答已采纳
我目前正在django的一个web项目上工作,需要确保在网络上传输数据的安全性(密码、用户名等)。我在owasp备忘单上读到,出于安全考虑,所有密码都应该通过tsl协议从客户端发送到服务器。
浏览 5提问于2015-08-23得票数 2
回答已采纳
我正在寻找一个php代码的集合,以处理登录,注销,创建用户名和密码,密码维护等,从一个网页。我的站点有许多用户帐户,每个帐户都是通过表单http://site.com/name1访问的。每个帐户可以有多个用户名和密码。
目前,我通过SSH从命令行手动添加用户名和密码,但需要让用户自己通过网页为自己的帐户添加用户名和密码。是否有一组php代码可以帮我做到这一点?
浏览 0提问于2016-11-15得票数 0
2回答
我目前有一个标准的登录表单如下:
function login_ajax() { var ajax = new XMLHttpRequest(); formdata.append('password', document.getElementBy
浏览 0提问于2018-04-17得票数 6
回答已采纳
我们在我工作的NHS组织内部进行了一场内部辩论,围绕着确保管理用户名的安全。我们的用户名通常基于我们的名称(例如,= tojo0001)。管理用户名基于低级帐户(例如= a.tojo0001)。团队中的一些成员希望随机化管理用户名,以便= tyl99123)。虽然我看到了随机用户名的安全好处,但它感觉很笨重,也不那么容易管理。此外,我们的系统认证需要一个强大的密码,多因素认证,兼容设备和低登录风险(来自在线风险分析)。
在这种情况下,我相信随机化用户名相对于高管理开销而
浏览 0提问于2021-08-26得票数 1
根据OWASP准则:假设get_user_from_model函数花费的时间是不可忽略的,而verify_bcrypt则需要400 of,攻击者可以通过定时攻击推断该函数是否在密码无效或用户名无效时返回
浏览 0提问于2019-03-02得票数 3
回答已采纳
1回答
因此,我有这个应用程序,它实现用户名和密码验证。我使用“验证器”npm包与OWASP推荐的密码复杂性包相结合来验证节点中服务器端的输入。我的customValidator.js模块现在看起来如下所示:var owasp = require('owasp-password-strength-test')
validator: val
浏览 2提问于2016-02-25得票数 0
回答已采纳
1回答
最后,Spring给出了 + char的秘密值,每个密码都是一样的吗?
哪种方法是最好的?(我倾向于Spring,因为据我所知,它在几行代码中封装了与OWASP类似的逻辑?)
浏览 2提问于2011-10-16得票数 1
回答已采纳
3回答
据我所知,有两种合理的方法来重置用户忘记的密码。
如果使用方法1,也许第三方可以读取电子邮件并获得新的密码。如果使用方法2,什么是阻止有人有条不紊地通过UID代码尝试并访问表单以更改用户的密码?
浏览 6提问于2013-04-15得票数 16
回答已采纳
我正在使用来检查/加强我创建的.net核心网站上的安全性。它指出一个解决方案是在登录操作上添加以下属性(但它是用于MVC5的) Name = "LogOn", Requests = 3,.net核心脚手架将登录部分创建为pa
浏览 0提问于2018-10-19得票数 4
我为PHP网站制作API,我需要发送一个加密形式的登录和用户密码。是我选择的普通加密算法吗,在客户端用户名和密码的编码上不会有任何问题?
浏览 0提问于2016-04-05得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
