9
ответов
Что лучший способ состоит в том, чтобы отправить данным аутентификации веб-формы по HTTP?
Компания, которую я знаю, находится в обсуждениях для уплотнения ее политики безопасности пароля через все ее продукты веб-приложения. Прямо сейчас они отправляют имя пользователя / аутентификация по паролю в формах POST...
вопрос задан: 24 July 2016 07:53
5
ответов
Комментарии JavaScript являются угрозой безопасности?
Во время recient аудита PCI аудитор сказал, что у нас были главные угрозы безопасности, потому что было возможно загрузить статические ресурсы с нашего веб-сайта, такие как CSS изображений и JavaScript без предшествующего...
вопрос задан: 5 July 2010 08:55
4
ответа
$ PHP _SERVER ['HTTP_HOST'] по сравнению с $ _SERVER ['SERVER_NAME'], я понимаю страницы справочника правильно?
Я сделал большой поиск и также читаю $ PHP _SERVER документы. Я имею это право, относительно которого можно использовать для моих Сценариев PHP для простых определений ссылки, используемых всюду по моему сайту? $ _SERVER ['SERVER_NAME'...
вопрос задан: 29 June 2018 20:48
2
ответа
OWASP ZAP не может тестировать API
В настоящее время я пытаюсь сканировать API с помощью zap. Я скачал пример зоомагазина с https://editor.swagger.io/ и настроил сервер с пружиной. Теперь я хочу отсканировать этот API с помощью задания сборки Jenkins. ...
вопрос задан: 25 February 2019 14:45
2
ответа
CSRF (Подделка запроса перекрестного сайта) нападают на пример и предотвращение в PHP
У меня есть веб-сайт, куда люди могут поместить голосование как это: http://mysite.com/vote/25 Это поместит голосование по объекту 25. Я хочу только сделать это доступным для зарегистрированных пользователей, и только если они хотят...
вопрос задан: 27 July 2012 03:31
1
ответ
Предотвращение атак CSRF, XSS и SQL-инъекций в JSF
У меня есть веб-приложение, построенное на JSF с MySQL как БД. Я уже реализовал код для предотвращения CSRF в моем приложении. Теперь, поскольку моей базовой структурой является JSF, я думаю, мне не нужно обрабатывать ...
вопрос задан: 23 July 2016 22:07
1
ответ
Что SQL Server эквивалентен Виртуальной Частной Базе данных Oracle?
Что SQL Server эквивалентен Виртуальной частной базе данных (VPD) Oracle?
вопрос задан: 29 June 2009 13:55
0
ответов
OWASP 4.0.2 плагин для проверки зависимостей не доступен
Плагин Owasp 4.0.2 пока недоступен в Maven Central (https://mvnrepository.com/artifact/org.owasp/dependency-check-gradle). Когда это будет доступно в репозитории Maven?
вопрос задан: 16 January 2019 07:26
0
ответов
Экранирование HTML-объекта для предотвращения XSS
У меня есть вводимые пользователем данные. В моем коде я гарантирую, что следующие символы экранированы: & -> & <-> <> ->> OWASP заявляет, что есть еще символы ...
вопрос задан: 6 September 2018 13:32
0
ответов
Надежный способ определить браузер, версию и платформу в php
Я искал надежный способ иметь (по крайней мере, менее смутные): название браузера, версию и платформу (ОС), на которой он находится, возможно, больше информации, но 3 информации выше ...
вопрос задан: 23 May 2017 12:33
0
ответов
Нужно ли мне вызывать MessageDigest.reset () перед его использованием ?
Вопрос прост: когда мне следует вызывать функцию reset () в Java-классе MessageDigest? Вопрос в основном возникает из справочника OWASP, где в примере кода они это делают: MessageDigest ...
вопрос задан: 24 July 2016 08:09
0
ответов
Может ли локальное хранилище считаться безопасным? [закрыто]
Мне необходимо разработать веб-приложение, которое будет работать в автономном режиме в течение длительного времени. Для того, чтобы это было жизнеспособным, я не могу избежать сохранения конфиденциальных данных (личных данных, но не типа данных, которые
вопрос задан: 24 July 2016 08:06
0
ответов
игровая рамка owasp топ 10
Я подумываю об использовании Play для крупномасштабного проекта, поэтому есть ли у кого-нибудь проверенный в бою каркас Play для OWASP Top 10? Есть ли какие-либо проблемы с безопасностью, которые вы знаете в Play Framework?
вопрос задан: 4 September 2012 23:11
0
ответов
Что такое OWASP?
Открытый проект безопасности веб-приложений Способствует разработке безопасного программного обеспечения Ориентирован на предоставление веб-ориентированных сервисов Сосредоточен в первую очередь на «серверной части», а не на вопросах веб-дизайна Открытый
вопрос задан: 4 September 2012 23:05
0
ответов
Распространенные уязвимости для приложений WinForms
Я не уверен, находится ли это в теме -или нет здесь, но это настолько специфично для.NET WinForms, что я считаю, что здесь это имеет больше смысла, чем на сайте обмена стеками безопасности. (Кроме того, это связано строго с...
вопрос задан: 13 July 2012 13:19
0
ответов
OWASP ESAPI simpleTest в проекте Maven Java EE
У меня есть небольшой проект JavaEE, и мне нужно защитить его с помощью OWASP ESAPI. Я интегрировал ESAPI в Maven следующим образом:
org ....
вопрос задан: 4 March 2012 18:24
0
ответов
Как избежать значений атрибутов HTML в Java без библиотеки Owasp?
Я использовал Apache StringEscapeUtils для объектов HTML, но если вы хотите избежать значений атрибутов HTML, есть ли стандартный способ сделать это? Я полагаю, что использование функции escapeHtml не поможет ...
вопрос задан: 1 March 2012 13:18
0
ответов
Ищем способ предотвратить использование java.sql.Statement в проекте
Наша команда стремится к лучшему соответствию рекомендациям OWASP, и одной из задач является предотвращение атак SQL Injection. Чтобы облегчить это, я искал способ ...
вопрос задан: 16 January 2012 16:27
0
ответов
Apache Shiro и безопасность Java для новичков
Я почти ничего не знаю о модели безопасности Java, включая конфигурацию XML, настройку политики, любые компоненты инфраструктуры безопасности, инструменты (такие как хранилище ключей и т. д.) и все, что между ними. Хотя ...
вопрос задан: 28 September 2011 17:37
0
ответов
Тестирование безопасности Java
Есть ли в Java такое понятие, как автоматическое тестирование безопасности? Если да, то как это реализовано? Это просто тесты JUnit, написанные для того, чтобы попытаться использовать известные уязвимости серверов, или они ориентированы на безопасность .
вопрос задан: 21 September 2011 15:03
0
ответов
Защита GWT и XSRF
Я ищу возможные решения для защиты моего приложения GWT от XSRF. Если я правильно понимаю решение GWT - он предоставляет сервлет, который вы используете для генерации токена на клиенте…
вопрос задан: 6 June 2011 22:02
0
ответов
GWT SafeHTML, XSS и лучшие практики
Хорошие люди из OWASP подчеркивают, что вы ДОЛЖНЫ использовать escape-синтаксис для той части HTML-документа, в которую вы помещаете ненадежные данные (body, атрибут, JavaScript, CSS или URL). См. OWASP - XSS. ...
вопрос задан: 30 May 2011 14:06