owasp

我正在尝试在我现有的项目中使用 ESAPI。 我在尝试对 SafeString 类型使用 ESAPI.validator().getValidInput() 方法时遇到错误。 以下是自动定义的正则表达式，包含在validation.properties 文件中： Validator.SafeString=^[.\\p{Alnum}\\p{Space}]{0,1024}$ 我假设最大长度是 ... »

我有这个 curl 来调用一个 api： curl -X POST -u user:password /to/the/end/point 如果我收到带有 zapproxy 的请求，我可以发送此请求并进行主动攻击，但我正在尝试对 python api 进行此调用。我无法使用基本授权（base64 或用户：密码）进行身份验证。我正在尝试使用 gui 和导出创建上下文并将其与 zap-api-sc... »

我对 Java 的安全模型几乎一无所知，包括 XML 配置、策略设置、任何安全框架组件、工具（如密钥库等）以及介于两者之间的一切。 虽然我知道卷起袖子深入学习 Java 安全性最终将成为必不可少的，但我想知道使用 Apache Shiro 之类的工具是否有助于简化过渡。因此，我对此有一些担忧。 Shiro 本质上是一个“统包、包罗万象的包装器”，用于在 Java 应用程序（尤其是 Web 应用... »

我是 java 安全新手，我需要在我的项目中实现输入验证器，我们使用的是 struts 2.5.13，我们正在通过对比安全工具进行测试。 我们有一个对比工具显示的漏洞，那就是“表达语言注入”，在我对 Owasp 网站的研究期间，我看到了两个项目，一个是 Stinger Filter 和其他 Parameter Validation过滤 。我很困惑，无法决定哪一个更好，可以为我的应用程序提供更多保... »

我正在整理一个即将进行渗透测试的网站，我们已被要求将 X-Frame-Options 标头添加到我们的服务器配置中。添加以下标头时，它会在我们使用 iframe 的 console.log 中给我一条错误消息 -- nginx 头文件-- add_header 'X-Frame-Options' "SAMEORIGIN"; -- 错误-- `拒绝在框架中显示“https://api.domain.... »

是否可以检测到使用 ZAP 代理将不安全的 POST / FORM 数据发送到非 SSL 地址的可能性？ 有点不清楚，你的意思是测试请求是否发送到... »

我有一些旧的 ColdFusion 代码。它最初是为 CF9 编写的，但现在在 CF 2016 上运行。 application.cfc local.esapi = createObject("java", "org.owasp.esapi.ESAPI"); application.esapiEncoder = local.esapi.encoder() 很久以后 常规页面 ... »

有没有办法更新 modsecurity_crs_custom.conf 文件中的规则模式？我有一个富文本编辑器，可以让人们包装链接文本。 <a href></a> 正在从 rule 973304 发出警告。我想从模式中排除href，但我不知道该怎么做。看起来没有类似SecRuleUpdatePatternById的选项 我试过了 SecRuleUpdateTargetBy... »

我正在尝试实现 Owasp Zap 扫描。但我找不到用于标头身份验证的脚本 如何为键值对添加标头身份验证，例如 key =api-key value = 123 docker run --rm -v $(Agent.ReleaseDirectory)/docker:/zap/wrk/:rw -t ictu/zap2docker-weekly zap- baseline.py \... »

我刚刚下载了最新版本 (2.2.9) 的 OWASP ModSecurity 核心规则集。 在提供的“modsecurity_crs_10_setup.conf.example”中有两个紧挨着的SecDefaultAction指令： SecDefaultAction "phase:1,deny,log" SecDefaultAction "phase:2,deny,log" 我认为一旦定... »

我正在考虑将Play 用于大型项目，那么，有没有人为 OWASP Top 10 提供实战测试的 Play 框架？你知道 Play 框架有什么安全问题吗？... »

我们已经开发了很多代码，但不幸的是，其中一些代码可能不合规，并且可能存在 OWASP 前十名中的安全漏洞。是否有人对自动代码审查工具有任何指导，这些工具将专门检查 OWASP 违规行为，例如 sql 注入、javascript 注入。 我不想爬过很多行代码来寻找漏洞，但更愿意让一些自动化工具来做。 谢谢 ... »

我正在运行 netspark 漏洞测试，它在 url 之后标记 http://localhost:54923/search/'ns='netsparker(0x005AAD) 我无法理解 'ns='netsparker(0x005AAD) 这部分是什么或如何解决此问题我正在清理输入 /search/searchkeyword 以使用户也对输入进行编码 用户在搜索输入框中输入关键字，然... »

我最近刚刚开始使用 Zed 攻击代理 (ZED) 来检查 OWASP 漏洞，我正试图让它扫描我的整个站点。我已经成功地让它以用户身份登录并从那里扫描，但登录后它停留在主页上。有没有办法让它扫描整个网站的其他页面？此外，有没有办法只测试特定的漏洞，还是更广泛地扫描所有内容？我还是这个软件的新手，所以任何帮助都非常感谢。 谢谢，... »

Java 中是否存在自动安全测试？如果是这样，它是如何实施的？仅仅是为了尝试利用已知的服务器漏洞而编写的 JUnit 测试，还是它们以安全为中心的测试框架？ 作为一个例子，我也对这个 OWASP 安全测试框架感兴趣，但不知道他们是在使用经典意义上的“框架”（意味着要遵循的一组指导方针和程序），还是在一个软件上下文（他们实际提供自动化安全测试组件的地方）。 感谢任何可以为我阐明这一点的人！... »

我正在尝试使用 esapi 库的 getValidSafeHtml() 函数但得到以下异常 org.owasp.esapi.errors.ConfigurationException : Couldn't find antisamy-esapi.xml 我已将antisamy-esapi.xml 复制到我保存ESAPI.properties 和validation.properties 的同... »

我知道我没有在我的 Android 应用程序中处理 MiTM，它可能很容易受到攻击。我想通过代理（我的笔记本电脑）连接我的 Android 手机并使用任何可能的工具检查 MiTM 攻击来测试场景。... »

是否可以在整个会话中使用相同的 CSRF 令牌？我看不出有任何理由通过不超过几个小时的会话来更改 CSRF 令牌。 有任何理由使用一次性令牌吗？根据我的经验，这些通常会导致糟糕的用户体验。 ... »

运行 ModSecurity 2.93 和 OWASP ModSecurity 核心规则集 (CRS) 3.3.2.启用了REQUEST-903.9003-NEXTCLOUD-EXCLUSION-RULES.conf 中包含的 Nextcloud 异常，它们正在正常加载。Nextcloud 已更新至最新的稳定版本，并通过了所有检查。 然而，ModSecurity 在许多重要方面破坏了它的功能。 ... »

我使用带有 OWASP 插件的 Maven 项目来检查 CI 拉取请求中每个提交的漏洞。 配置看起来很简单 <plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven&l... »