Preguntas con etiqueta 'owasp'

2
respuestas

¿OWASP ESAPI sigue siendo la forma recomendada de proteger las páginas JSP?

Noté que OWASP ESAPI no se ha actualizado en mucho tiempo ( actualización menor en 2016, y antes de 2013 ). ¿Existen mejores alternativas para usarlo, es decir, usar las utilidades de un marco más actualizado para, por ejemplo, escapar y validar...
hecha 02.10.2017 - 17:25
1
respuesta

Paquete NPM malicioso: ¿encaja en el Top Ten 2017 de OWASP?

En varios foros de seguridad he visto links a una publicación sobre un NPM malicioso ficticio información de la cosecha del paquete. El título de las publicaciones:    Estoy recolectando números de tarjetas de crédito y contraseñas de su...
hecha 10.01.2018 - 09:37
4
respuestas

Cómo presentar mejor 'Comentarios sobre la vulnerabilidad de la seguridad' a los desarrolladores en el IDE (como VisualStudio)

Hoy publiqué un PoC bastante bueno en el que pude proporcionar "comentarios de vulnerabilidad de seguridad" en tiempo real a un desarrollador mientras escribe el código en VisualStudio. Puede ver el video en Comentarios sobre la creación de...
hecha 22.06.2012 - 00:38
2
respuestas

¿Vale la pena seguir el OWASP AppSensor para una aplicación web de código abierto?

Estoy pensando en seguir el proyecto AppSensor de OWASP para incorporar la detección de intrusiones a nivel de aplicación en una fuente abierta existente Aplicación web. Creo que hay cierto valor en el uso de AppSensor para detectar ataques...
hecha 03.06.2013 - 04:26
0
respuestas

Comenzando con OWASP ESAPI + JavaEE - TestProject simple [cerrado]

Esta pregunta se formuló originalmente en stackoverflow Espero que aquí, en este foro de Seguridad, encuentre más gente porque, con suerte, ¿algunas personas están usando el material de esapi? Tengo un pequeño proyecto JavaEE, y tengo que...
hecha 05.03.2012 - 23:13
1
respuesta

Recomendación de OWASP sobre el hash de contraseña del lado del cliente

La OWASP Application Security FAQ recomienda el uso de JavaScript para producir un jaspeado. contraseña del lado del cliente con JavaScript antes de enviarla al servidor. ¿Es esto algo realmente defendido? ¿Debo seguir esta ruta? ¿Cómo d...
hecha 11.11.2013 - 02:55
1
respuesta

¿Qué lista de palabras usa la araña OWASP ZAP?

Estoy tratando de descubrir cómo OWASP ZAP descubrió un directorio en una máquina virtual, ingresé la IP del host y golpeé el ataque, y la araña descubrió este directorio (pChart2.3.1). He buscado en cada lista de palabras que utiliza dirbust...
hecha 31.08.2016 - 13:10
1
respuesta

OWASP WebGoat Advertencia Significado

Estoy empezando con WebGoat. En su página de GitHub [https://github.com/WebGoat/WebGoat] , tienen esta advertencia publicada: WARNING 1: While running this program your machine will be extremely vulnerable to attack. You should to disconnect...
hecha 16.06.2015 - 05:54
1
respuesta

OWASP CSRFGuard obtiene el token a través de XMLHttpRequest: ¿por qué?

Quiero usar el CSRFGuard Project para proteger una aplicación web heredada contra ataques CSRF. La última versión publicada de la dependencia de Maven es 3.1.0, que es lo que uso. Esto es parte del código JavaScript que se incluye en cada p...
hecha 08.12.2016 - 18:41
1
respuesta

¿Qué tan relevante es OWASP ASVS? [cerrado]

¿Qué tan relevante es el estándar de verificación de seguridad de la aplicación OWASP? ¿Lo has tenido como un requisito hecho por el negocio? ¿Qué otras normas de seguridad de aplicación relevantes para las empresas existen? Intenté buscarlos, p...
hecha 25.05.2016 - 07:50