Preguntas con etiqueta 'owasp'

preguntas con etiqueta
2
respuestas

¿Cuál es la diferencia entre el Control de Acceso Roto y la referencia de Objeto Directo Inseguro? [cerrado]

Si entiendo correctamente, la principal diferencia es que el usuario debe iniciar sesión para llevar a cabo un ataque de inseguridad de referencia directa a objetos, pero no tiene que iniciar sesión para explotar un ataque de control de acceso r...
hecha 02.05.2014 - 09:13
2
respuestas

¿Cómo debo interpretar que "los controles de acceso en la capa de presentación se aplican en el lado del servidor?

Esta pregunta es con referencia al estándar OWASP (las reglas de control de acceso en la capa de presentación se aplican en el lado del servidor - OWASP ASVS 3.0 - 4.9) Estoy tratando de entender profundamente lo que significa para poder comu...
hecha 31.10.2018 - 12:22
1
respuesta

¿Qué parámetros se pueden usar para configurar la autorización sensible al contexto?

Reconozco que la autorización sensible al contexto para las aplicaciones es un buen control de seguridad, sin embargo, actualmente solo puedo pensar en la ubicación como un ejemplo de un contexto sensible. No considero que el tiempo sea un co...
hecha 31.10.2018 - 12:32
1
respuesta

Perdí mis archivos de datos personalizados para OWASP ZAP (Forced Browse). ¿Dónde encuentro los datos en ZAP?

La herramienta solía llamarse dirbuster. Importé mis propias listas y luego perdí los archivos de origen. No puedo exportar las listas de palabras de ZAP. ¿Cómo puedo encontrar los datos en ZAP para poder recrear los archivos de origen?     
hecha 15.08.2018 - 14:10
1
respuesta

Comprensión de la deserialización insegura de OWASP 2017 A8

Estoy leyendo sobre Insecure Deserialization y recordé una vulnerabilidad sobre la que leí en algunas implementaciones de JSON Web Token (JWT) en auth0. enlace enlace En pocas palabras, se usa el algoritmo "ninguno", se elimi...
hecha 11.07.2018 - 16:41
1
respuesta

¿Cómo redireccionar cualquier respuesta a una ubicación arbitraria en el editor de solicitudes de OWASP ZAP?

Estoy intentando encontrar XSS almacenado en una aplicación. Afortunadamente, la aplicación me permite insertar y editar la descripción de mí mismo que se muestra a cualquiera que visite mi perfil. La ubicación donde edito mi descripción:...
hecha 20.07.2018 - 18:25
1
respuesta

OWASP ZAP bruteforce por contraseña no nombre de usuario

Quiero utilizar Bruteforce en una página de inicio de sesión usando OWASP ZAP, usando dos contraseñas separadas (90 líneas) y archivos de nombre de usuario (200 líneas), con las solicitudes POST de bruteforce que se ordenarán por contraseña como...
hecha 05.11.2016 - 07:20
2
respuestas

Necesita ayuda para comprender las vulnerabilidades de OWASP [cerrado]

Estoy haciendo un informe técnico sobre la simplificación de las vulnerabilidades de OWASP 10 basado en un artículo que sugirieron nuestros maestros. ¿Pueden ustedes ayudar o proporcionar más recursos aquí? ¿Cuáles son tus puntos de vista? Tambi...
hecha 07.07.2016 - 13:08
0
respuestas

Agregue tokens CSRF para formar etiquetas automáticamente- Spring

En Spring Framework, ¿hay una manera de agregar un token CSRF a todas las etiquetas de formulario automáticamente? tal vez utilizando [1] o de alguna otra manera, pero sin usar una etiqueta de formulario personalizada que insertaría el token C...
hecha 17.12.2018 - 21:07
0
respuestas

Requisitos de verificación de servicios web

Estoy haciendo la lista de verificación ASVS 3.0 (excel) de OWASP y estoy teniendo algunas dificultades para entender (decida si este requisito pasa o no) esta categoría Requisito de verificación de servicios web s, el tema es Verificar que...
hecha 07.11.2018 - 17:29