Preguntas con etiqueta 'owasp'

0
respuestas

¿Qué versión de OWASP modsecurity crs se instalará en apache 2.2.22?

Hola, estoy considerando instalar owasp mod_security crs en un ubuntu 12.04.4 que viene con apache 2.2.22. En la página de github he visto muchas versiones pero todos los tutoriales estaban usando 2.2.7 Primero pensé que era porque las...
hecha 19.08.2014 - 16:36
1
respuesta

¿Las entidades HTML son inherentemente inseguras?

Al enviar HTML que contiene entidades al OWASP HTMLSanitzer , las entidades se convierten. Por ejemplo: BEFORE: <p>blah blah blah &diams;</p> El HTML resultante termina pareciéndose a esto: AFTER: <p>blah blah bl...
hecha 24.06.2014 - 16:12
3
respuestas

Inyectar scriptalert (“1”) / script en OWASP Juice Shop no funciona

Acabo de aprender la teoría detrás de los ataques XSS y ahora me gustaría probar mi conocimiento de manera legal. Quería "hackear" OWASP Juice shop siguiendo los pasos de este book sección "Realizar un ataque XSS reflejado". Cuando uso...
hecha 15.12.2018 - 22:07
0
respuestas

Ejemplos de casos de prueba para todas las 10 principales vulnerabilidades de owasp

Estoy buscando ejemplos de casos de prueba para las 10 vulnerabilidades a fin de aprovechar esos escenarios. Apreciaría mucho si alguien comparte o comparte el enlace para los casos de prueba de una aplicación web con las 10 vulnerabilidades o c...
hecha 20.08.2014 - 12:40
2
respuestas

/ cron ruta encontrada al probar el sitio

Estoy probando un sitio y usando la herramienta dirb incorporada en kali y se recuperó /cron con una respuesta de 200. Fui a esa página y está en blanco. ¿Alguien puede decirme por qué fue recogido y no hay nada que ver?     
hecha 07.09.2018 - 16:14
1
respuesta

Pentest de la red externa y pentest de la aplicación. ¿Lo mismo?

Estoy intentando crear un proceso de prueba para probar la red y las aplicaciones de una empresa. Estoy usando para esto la Guía de prueba de OWASP 4.0, porque no tengo experiencia en pentesting y no sé nada mejor. La mayoría de los pasos des...
hecha 27.07.2017 - 13:38
2
respuestas

¿Explotar la inyección de SQL en OWASP ZAP?

He realizado un escaneo normal (sin confusión) de un sitio web utilizando ZAP en modo de ataque, y me da varias inyecciones posibles. Mi pregunta es si hay alguna manera de tratar de explotar esto dentro de ZAP, sin usar el mapa SQL por mí mismo...
hecha 20.01.2016 - 05:20
1
respuesta

¿Cuál es el riesgo de que se revele la dirección IP privada si es la IP del usuario?

Estoy comprobando una aplicación web con Zed Attack Proxy (ZAP) de OWASP . Hay una vulnerabilidad (baja) que dice " Revelación de la dirección IP privada " y cuando verifico más detalles encontré que es mi IP , y hay una función que solo re...
hecha 30.07.2018 - 10:32
1
respuesta

¿Qué son todos los casos / vulnerabilidades de prueba que debemos probar en la prueba REST API Pen?

Estoy aprendiendo las pruebas de pluma de la API y busco recursos que ofrezcan una lista clara de los casos de prueba que debemos verificar al realizar una prueba de la pluma en la API REST. He revisado los recursos de OWASP API Cheat_sheet...
hecha 27.11.2018 - 05:49
1
respuesta

Fuzzing con Owasp-Zap

Estoy haciendo pruebas de aplicaciones web y, en su mayoría, realizo inyecciones en campos, etc. Escuché que esto se puede hacer en OWASP-zap pero no puedo averiguar cómo hacerlo. ¿Alguien puede arrojar algo de luz sobre esto por mí?     
hecha 09.05.2018 - 21:30