Preguntas con etiqueta 'owasp'

1
respuesta

Inyección de SQL falsa positiva por ZAP con la adición de una nueva consulta de parámetros

Tengo una aplicación web Spring MVC y estoy ejecutando ZAP Active scan en ella. Noté que ZAP modificará la URL y agregará un parámetro adicional llamado query y valor query+AND+1%3D1+--+ para probar la inyección de SQL. Y en mi...
hecha 17.08.2018 - 12:49
2
respuestas

¿Cómo puedo editar la solicitud HTTP en OWASP ZAP y enviar la solicitud editada?

Soy consciente de establecer un punto de interrupción en una solicitud particular y luego, cuando la solicitud se realiza en el navegador, la solicitud http se puede modificar en ZAP. Pero, ¿hay alguna forma en ZAP, por la cual una solicitud ya...
hecha 04.09.2016 - 14:48
2
respuestas

¿Cómo iniciar OWASP Shepherd usando Docker? [cerrado]

He sacado la imagen del Docker de Security Shepherd y he seguido todas las instrucciones para la configuración de Docker. Creo que todos los pasos fueron exitosos. Ahora no sé cómo ejecutar la aplicación Shepherd, mientras se está ejecutand...
hecha 14.09.2017 - 09:39
1
respuesta

¿qué hay de usar la herramienta de verificación de dependencia de OWASP para abordar los 10 principales 2013-A9-Uso de componentes con vulnerabilidades conocidas [cerrado]

Sé que la herramienta de verificación de dependencia de OWASP es realmente buena para encontrar dependencias vulnerables y la he usado personalmente para fines experimentales. Pero, ¿alguien lo ha utilizado a nivel empresarial, como buscar fra...
hecha 06.05.2015 - 05:31
2
respuestas

SqlMap omite OWASP ModSecurity Core Rule Set para inyección de SQL

Estoy tratando de realizar una prueba de penetración simple en la DVWA (la aplicación web que ha sido diseñada específicamente para ser vulnerable a algunos de los ataques de aplicaciones web más comunes). Quiero usar ModSecurity WAF para pro...
hecha 18.03.2014 - 04:24
1
respuesta

OWASP ZAP enseñando a la araña a usar encabezado personalizado

Necesito ayuda con la configuración de OWASP ZAP para rastrear correctamente mi sitio web Angular de una página con la araña. Configuré con éxito un zscript que manejará el inicio de sesión y agregará una sesión HTTP que puedo configurar como...
hecha 12.01.2018 - 13:39
3
respuestas

Decidir el parámetro de alcance CVSS v3 para algunas de las 10 principales vulnerabilidades de OWASP

Estoy tratando de obtener un puntaje en el top 10 en cvss v3 y tengo dificultades para asignar el parámetro "alcance" para algunos. Por favor, corrija la siguiente lista si hay algunas fallas. Inyección SQL: modificado. Componente vulnerab...
hecha 05.07.2016 - 14:28
2
respuestas

¿Cómo clasificar las vulnerabilidades de la web en un informe?

¿Cuál es una buena manera de categorizar las vulnerabilidades en los informes de seguridad de TI? Suponiendo que se trata de entornos basados en web como: sitios web, aplicaciones web, Tiendas web, Cualquier interfaz que use tecnología...
hecha 19.06.2016 - 00:40
1
respuesta

¿Qué vulnerabilidades distintas del recorrido del directorio están bajo IDOR?

La vulnerabilidad más común en la categoría OWASP Referencia de objeto directa insegura es de directorio transversal. ¿Cuáles son las otras vulnerabilidades que entran en esta categoría?     
hecha 07.01.2017 - 08:11
2
respuestas

¿Puede el OWASP ZAP verificar XSS para la API REST?

Tengo una aplicación web y utilicé OWASP ZAP para verificar XSS. Probé dos casos como ejemplo abajo: URL: localhost: 8888 / test / login Öogin page HTML: <!DOCTYPE html> <html> <head> <meta charset="US-ASCII"> <...
hecha 10.12.2015 - 09:16