Preguntas con etiqueta 'owasp'

preguntas con etiqueta
1
respuesta

¿Por qué debo ejecutar el Proyecto de aplicaciones web rotas de OWASP solo como host o NAT?

Nos cuesta mucho que VMWare funcione en modo puenteado. Podemos hacer que funcione en modo Bridged. ¿Por qué es tan importante ejecutarlo con solo host o NAT?     
hecha 14.12.2013 - 21:12
3
respuestas

¿Puede exportar un informe de OWASP ZAP basado en un sitio web individual?

Tengo una lista de 30 sitios web que he escaneado. Necesito sacar un informe para cada sitio web individual. Es posible de hacer? En este momento, solo estoy publicando un informe y obteniendo los resultados para los 30 y solo sale en una gran c...
hecha 23.04.2014 - 16:40
1
respuesta

¿Por qué la XXE no forma parte de la inyección en el Top 10 de OWASP?

Intento explicarme a mí mismo por qué XXE no se incluye en la categoría de inyección, ya que es una forma de inyección XML. La entidad externa XML es un ataque que manipula el analizador / intérprete XML para lograr la divulgación de informac...
hecha 12.05.2018 - 11:30
3
respuestas

¿Prueba para OWASP usando componentes con vulnerabilidades conocidas?

Estoy tratando de pensar cómo probaré una aplicación para OWASP "Uso de componentes con vulnerabilidades conocidas" . Si mi entendimiento es correcto, esto se relaciona mucho con las bibliotecas / módulos desactualizados, pero si uno está pe...
hecha 16.05.2018 - 15:17
3
respuestas

Los resultados de nikto difieren de otros escáneres de vulnerabilidad, ¿son más o menos precisos?

Estaba escaneando en una aplicación web, usé OWASP zap y Nessus. Los riesgos que estos dos detectaron fueron medios a bajos, muy pocas vulnerabilidades. Luego probé nikto, y los resultados fueron enormes. Detectó riesgos potenciales con la ba...
hecha 03.05.2018 - 18:22
1
respuesta

Excluir nombres de archivos de los patrones de seguridad mod_

Tengo una pregunta con respecto a mod_security. He instalado mod_security en mi servidor y en el conjunto de reglas principales de OWASP. Sin embargo, ahora la gente tiene problemas al acceder a mi página. Por ejemplo, un problema es que las...
hecha 25.07.2012 - 11:09
1
respuesta

Desinfección de deserialización de JSON

Actualmente estoy investigando las mejores prácticas para la deserialización JSON segura de entradas no confiables para la asignación de objetos. Después de investigar, parece que ... el mapeador de jackson predeterminado: enlace y OWASP...
hecha 25.10.2018 - 18:51
1
respuesta

Autenticación con script OWASP ZAP

Actualmente estoy trabajando en una secuencia de comandos de Python que automatizará el zap para mí, por lo que no tengo que ingresar y borrar manualmente los campos o las páginas de rastreo. La parte en la que estoy atascado es que actualmente...
hecha 12.07.2018 - 22:18
1
respuesta

¿Puede alguien resaltar la diferencia clave entre la inyección CRLF, la división de respuesta HTTP y la inyección de encabezado HTTP?

Creo que cada uno de estos está estrechamente relacionado, por ejemplo, la división de respuesta HTTP ocurrirá en el caso de una inyección de caracteres CRLF (% 0d% 0a) y esto también implicará una inyección de encabezados HTTP que controlan las...
hecha 21.08.2018 - 08:54
1
respuesta

Mitigación basada en token o encabezado de origen

OWASP CSRF Prevention cheatsheet habla sobre dos mitigaciones populares para CSRF - Origen / Referr Comprobación de encabezado y basado en token. ¿Hay algún problema en la mitigación basada en la verificación de origen / referencia que podr...
hecha 10.08.2018 - 02:35