如何使用身份验证运行 Zap 主动扫描?
作者:TheWalkingMalteser 提问时间:9/18/2023
我正在从对私有 API URL 运行主动扫描的 git 存储库运行此 owasp zap command():v2.13 ./zap.sh -cmd -quickurl https://privat...
OWASP 问答列表
SPA:客户端会话处理与 PKCE 的 OAuth 授权代码流相结合
作者:Matthias M 提问时间:9/7/2023
我们有一个单页应用程序 (SPA) 和 OAuth 身份验证。 我们将授权代码流与 PKCE 一起使用,因为它被认为是最安全的客户端身份验证方法。 但 OAuth 仅与身份验证有关。 考虑 安全...
OWASP ZAP 基线扫描在 CI/CD 管道中返回意外错误 1
作者:Raphaël 提问时间:10/26/2023
我在管道中使用来自 OWASP 的 docker 映像来扫描我的 Web 应用程序并生成 HTML 报告,我遇到了一个我花了一整天时间试图解决的问题。 运行扫描作业时,它会成功扫描网站,但在执行扫描...
IIS 上的 OWASP ModSecurity 2.9 导致 403 禁止访问
作者:Ross Kelly 提问时间:10/20/2023
我有一个托管在 IIS 上的 ASP.NET Core 3.2 Web 应用。我的网站使用 Plesk 托管在共享环境中。当我查看 Web 应用程序防火墙页面时,它显示核心规则集为“在 IIS 上运行...
使用 OWASP 依赖项检查时是否应该忽略node_modules?
作者:ssougnez 提问时间:10/20/2023
我目前正在使用 OWASP 依赖项检查工具来查找我的 Angular 应用程序中的漏洞。 在阅读有关此的博客文章时,我注意到人们通常会排除node_modules包,我想知道这是否是一种正确的分析方...
如何在gradle中强制使用传递依赖项(netty-codec-http)的特定版本?
作者:Muhammad Towfique Imam 提问时间:10/17/2023
我正在尝试将版本用于库,因为 OWASP 依赖项检查器将依赖项标记为 .它被亚马逊依赖性拉出来。这是我的文件。我正在使用 gradle 和 .4.1.100.Finalnetty-codec-http...
未找到发布“/home/vsts/work/r1/a/owaspzap/report.xml”的结果
作者:Kev 提问时间:10/13/2023
我有一个带有 Handlebars 的 OWASP ZAP 的 Azure 发布管道,它似乎正在运行,但没有创建任何报告。 使用的代理是 ubuntu-latest 运行后,我们看到这个 这里我们有...
跨站点请求伪造防护:对同步器令牌模式使用 cookie
作者:davidm_uk 提问时间:10/12/2023
用于 CSRF 预防的同步器令牌模式的 OWASP 描述(此处)指出: 对于同步令牌模式,不应使用 cookie 传输 CSRF 令牌。 我的理解是,这是指将 CSRF 令牌从服务器传输到客户端。...
OWASP 依赖项检查抑制不起作用
作者:Adam K 提问时间:10/4/2023
我正在尝试使用最新的 owasp docker 映像在 gitlab-ci 作业中使用 owasp 依赖项检查。 依赖项检查效果很好,但是当我尝试添加抑制 xml 文件时,它不起作用 - 它不会抑制任...
使用 url 编码输入的 XSS 缓解
作者:NAVOZ 提问时间:10/3/2023
在我的一个应用程序中,我使用OWASP的Encoder for html来缓解XSS攻击,但不幸的是,这还不够。 渗透测试人员发现了一个反射的跨站点脚本威胁,其中输入字段内容或有效负载是 URL 编...