Preguntas con etiqueta 'owasp'

preguntas con etiqueta
0
respuestas

Guía de prueba de OWASP equivalente para aplicaciones de escritorio [cerrado]

Me preguntaba si alguno de ustedes conoce una guía similar a la Guía de pruebas de OWASP, pero que está diseñada específicamente para aplicaciones de escritorio. No tuve suerte buscando en Internet. Estoy buscando algo que se centre o incl...
hecha 18.10.2018 - 22:25
0
respuestas

¿Cómo verificar si la ejecución remota del comando “/ run timeout / T 5” funcionó en la página HTML?

Estaba escaneando un sitio web utilizando Zed Attack Proxy, cuando descubrí que es vulnerable a la ejecución remota de comandos, específicamente el tiempo de espera con el encabezado del Referer (que se muestra en la solicitud a continuación). N...
hecha 26.01.2016 - 17:08
0
respuestas

ZAP y Tamper Data no está recibiendo ninguna solicitud POST

Acabo de comenzar a aprender el Proxy ZAP de OWASP utilizando Webgoat. Estoy ejecutando estos en mi Mac. He configurado a Zap para que escuche mi Firefox, pero solo puedo enviar solicitudes HTTP GET, no aparecen las solicitudes POST. Tambi...
hecha 28.01.2016 - 16:52
0
respuestas

Consejos sobre si debo hablar en mi grupo de usuarios locales sobre NIST, InfoSec, etc. [cerrado]

He estado jugando con la idea por un momento sobre mi primera charla. En mi último proyecto, estaba creando un portal de administración de riesgos para la seguridad de la información, así que tuve que leer todo sobre los marcos de administración...
hecha 20.11.2014 - 15:03
3
respuestas

La exploración activa de Owasp Zap dañando la base de datos

Quiero integrar las pruebas de seguridad de OWASP Zap en mi cadena de integración continua utilizando el complemento oficial de Jenkins. Sin embargo, ya que inyecta cargas útiles en la base de datos, ¡no quiero que la base de datos se corromp...
hecha 11.07.2017 - 09:13
3
respuestas

Probar la configuración del Firewall de la aplicación web (ModSecurity)

¿Cuál es la mejor manera de probar la configuración de mi Firewall, ya que he implementado el conjunto de Reglas Core provisto por OWASP? Pero mi configuración de reglas me estaba dando demasiados falsos positivos que resolví al eliminar muchas...
hecha 01.11.2012 - 08:11
2
respuestas

Después de un análisis completo de vulnerabilidades en la web, ¿necesitamos probar cada campo similar para posibles inyecciones?

Ejecuté un escaneo de zap para mi proyecto y encontré algo de medio & Vulnerabilidades de bajo nivel. Pero revisando algunas publicaciones, encontré que también deberíamos ejecutar inyecciones (sql, xss, command) en los campos de texto. P...
hecha 02.02.2018 - 01:44
2
respuestas

Implementación de OWASP ESAPI PHP para ataques XSS

Busqué ampliamente buenos materiales para prevenir ataques XSS utilizando OWASP ESAPI, pero no pude encontrar ningún material para principiantes. ¿Puede alguien darme un ejemplo de cómo funciona esto?     
hecha 14.10.2014 - 10:43
1
respuesta

¿Se utiliza realmente OWASP ESAPI .NET Edition? ¿Este proyecto sigue vivo?

Acabo de ver que la última versión se lanzó en 2009 y eso me hizo dudar.     
hecha 06.10.2014 - 23:01
1
respuesta

¿El proyecto Zed Attack Proxy de OWASP tiene una lista de todas las vulnerabilidades que intenta encontrar / explotar?

Estoy tratando de compilar una lista de vulnerabilidades que ZAP intenta encontrar cuando ejecutas el "Active Scan" en modo ATTACK en una aplicación web. ¿Existe esta lista en la documentación en alguna parte? Si también tiene una lista de todas...
hecha 14.02.2018 - 20:03