Preguntas con etiqueta 'owasp'

1
respuesta

¿Un CSRF no autenticado sigue siendo un CSRF?

OWASP define falsificación de solicitudes entre sitios (CSRF) como    un ataque que obliga a un usuario final a ejecutar acciones no deseadas en una web   aplicación en la que se autentican actualmente . (énfasis mío) Un ejemplo de...
hecha 22.04.2017 - 13:01
2
respuestas

¿Cómo desactivo las pruebas automatizadas en OWASP ZAP?

Estoy intentando descubrir cómo apagar el escáner automatizado en ZAP. Ni siquiera estoy seguro de si está encendido. ¿Cómo y dónde puedo saber si el escáner está encendido? Solo quiero que sea un proxy puro por el momento para propósitos de...
hecha 13.06.2016 - 10:48
2
respuestas

¿Por qué OWASP ASVS requiere que las respuestas HTTP tengan un encabezado de contenido que especifique un conjunto de caracteres?

El Estándar de verificación de seguridad de aplicaciones OWASP ( ASVS ), versión 3, establece en la cláusula V11.2:    Verifique que cada respuesta HTTP contenga un encabezado de tipo de contenido que especifique un conjunto de caracteres seg...
hecha 04.05.2016 - 21:38
2
respuestas

¿Por qué la protección insuficiente contra ataques es una amenaza / riesgo definitivo para una organización?

Recientemente, OWASP introdujo dos nuevas series de categorías a partir de 2017, en abril: a OWASP Top 10 : Protección de ataque insuficiente API no protegidas Entiendo, las API no protegidas tienen un riesgo inmediato que implica prob...
hecha 12.04.2017 - 07:43
1
respuesta

Omitir filtrado de caracteres - seguridad Shephard

Estoy atrapado en la parte XSS de la aplicación de seguridad OWASP. No estoy buscando a alguien que me diga la solución, solo necesito aprender a encontrarla yo mismo, estoy un poco oxidado en XSS. Así que lo que sé hasta ahora. sustituirá l...
hecha 20.04.2016 - 01:52
1
respuesta

Configuración de la autenticación ZAP de OWASP

Recientemente, he estado trabajando en pruebas de seguridad con OWASP ZAP. Sin embargo, me he topado con un bloqueo de carretera porque no puedo hacer que la araña (ajax) realice pruebas dentro de un área autorizada de la aplicación de una sola...
hecha 24.11.2015 - 23:32
2
respuestas

¿Cómo convertir las puntuaciones de riesgo (CVSSv1, CVSSv2, CVSSv3, OWASP Severidad del riesgo)?

¿Existe un método o una fórmula precisa para convertir los puntajes de riesgo entre la Metodología de Calificación de Riesgo de OWASP (Gravedad de Riesgo General) y los puntajes base CVSS v1, v2 y v3))? ¿Además de convertir los puntajes entre...
hecha 17.06.2016 - 16:36
2
respuestas

Lista de los principales escenarios de riesgo / ataque de seguridad para la aplicación de Android [cerrado]

CUALES son los posibles escenarios de riesgo / ataque de seguridad para la aplicación de Android. Esto es con respecto a las 10 principales amenazas de seguridad móvil de OWASP discutidas aquí: enlace Me gustaría saber cuál de los diez y, s...
hecha 30.05.2012 - 09:23
1
respuesta

¿Cómo clasifica OWASP los 10 riesgos principales?

Estaba leyendo artículos sobre OWASP A2 (2017) y el cuadro comparativo que se encuentra a continuación. Una cosa que noté fue que la "Administración de sesión y cuenta rota" ha cambiado de lugar con los años: En 2003 y 2004 fue A3 . En 20...
hecha 01.11.2017 - 08:35
1
respuesta

Mod_security para Apache2 bloquea cURL!

Estoy intentando que mis usuarios se queden latentes. y lng. desde su dirección mediante la API de geocodificación de Google, pero cuando mod: security está habilitado, lo impide y el script se agota. ¿Cómo puedo agregar una excepción por IP o d...
hecha 26.06.2011 - 01:16