Preguntas con etiqueta 'owasp'

preguntas con etiqueta
0
respuestas

OWASP ZAP Gateway timeout?

Estoy intentando configurar ZAP para que se ejecute como parte de mi definición de compilación en TFS. Cuando la compilación se está ejecutando, puedo ver que la llamada está llegando a ZAP y la araña comenzará a escanear. Parece que se ca...
hecha 07.08.2018 - 17:08
0
respuestas

¿Vulnerabilidad de error de validación de entrada del filtro XSS?

Estaba probando un filtro XSS de un servidor web basado en Java. Casi todo se escapó, pero cuando escribí \" (doble comilla invertida), el sistema arrojó un error, "Error de validación de entrada". Afortunadamente, el rastro de la pila se...
hecha 19.05.2018 - 06:33
0
respuestas

¿No debería seguir las recomendaciones de XSS basadas en OWASP DOM sin importar dónde se inyecta la carga útil?

Escuché / leí en varios contextos que el XSS basado en DOM está causado por información del cliente no confiable y los desarrolladores deben seguir las instrucciones en el OWASP " Hoja de referencia de prevención XSS basada en DOM " para mitigar...
hecha 11.05.2018 - 22:34
0
respuestas

¿Cómo puedo escanear WebGoat7.1 con OWASP ZAP?

Estoy tratando de hacer una presentación sobre cómo escanear un sitio web usando OWASP ZAP 2.7.0 y estoy tratando de usar WebGoat7.1 como objetivo para este propósito. Primero me gustaría usar el escáner AJAX para descubrir todas las páginas de...
hecha 19.02.2018 - 10:28
0
respuestas

Cómo ejecutar OWASP ZAP automáticamente usando las operaciones de la línea de comandos (es decir, Jenkins)

Estoy tratando de ejecutar OWASP ZAP automáticamente usando las operaciones de línea de comandos. He intentado usar el APi como se describe aquí , pero estoy obteniendo estos errores . También lo he intentado con zapr , pero también muestr...
hecha 09.08.2017 - 11:08
0
respuestas

Inicio de sesión de OWASP-ZAP y DVWA

Necesito hacer un pentest de la aplicación DVWA. Para hacer eso, elegí la herramienta OWASP-ZAP. Seguí todos los pasos de este tutorial . Pero cuando trato de ejecutar la "araña", el programa no encuentra todas las páginas, así que cuando quier...
hecha 30.05.2016 - 14:01
1
respuesta

OWASP + Atomic ModSecurity Rulesets - ¿Demasiado?

Buscando implementar algunos conjuntos de reglas mod_sec adicionales en nuestro servidor. OWASP y Atomic siguen siendo los mejores de los mejores. ¿Sería sabio implementar ambos? O, ¿una u otra sería suficiente para el cumplimiento de PCI?     
hecha 24.04.2015 - 01:54
1
respuesta

fuzzing xss mutillidae con OWASP ZAP

Estoy jugando con XSS fuzzing y encuentro que el proxy de zap es muy bueno, ya que puedo utilizar la opción fuzz. No tengo burp pro, por lo que no puedo importar listas en el repetidor. Mi problema es que puedo provocar manualmente una respuesta...
hecha 06.10.2018 - 10:13
1
respuesta

¿ataque o vulnerabilidad de inyección de sql? ¿Dónde puedo encontrar una lista de vulnerabilidades de aplicaciones web y tipos de ataques? [cerrado]

No puedo separar los riesgos de seguridad de los 10 principales de OWASP. ¿La inyección Sql es un ataque o una vulnerabilidad? Si la inyección de Sql es un tipo de ataque de aplicación web (y otros riesgos de seguridad de owasp), ¿dónde puedo en...
hecha 26.05.2017 - 10:36