問題タブ [owasp]

WCF 応答の受信中に発生する可能性があるさまざまな種類の脅威は何ですか?. また、この種の脅威を防ぐための軽減計画はどのようなものでしょうか?

注: このクエリは、WCF 脅威モデリングの概念に基づいています。

IP アドレスを使用して自分の Web サイトにアクセスしようとしていますが、以前は正常に動作していました。しかし、mod_security と mod_security OWASP をインストールして構成した後、Apache が 403 エラーを出しています。

禁止
このサーバーの / にアクセスする権限がありません。

ブラウザから IP を使用して Web サイトにアクセスできるようにするにはどうすればよいですか??

ADFS 2.0 (または一般的な SSO) とOWASP - 脆弱性のトップ 10 リストの良さを示すセキュリティ リソース / ブログ投稿はありますか?

ASP .NET の優れたリソースはほとんどありません ( Troy Huntの最高のリソース)。しかし、誰も ADFS 2.0 について語っていません。OWASP に対する ADFS 2.0 の付加価値はありますか (間違いなくあります!!) ? 建設的な議論も歓迎します。

なぜ私は得るのですか：

Tomcat 5.5 で0wasp.CsrfGuard.Testサンプル アプリを実行しようとすると?

サンプル アプリをダウンロード時とまったく同じように使用していますが、listenerエラーを回避するために次の変更を加えています。

• CsrfGuard 3.0.0 パッケージをダウンロードしてコピーしOwasp.CsrfGuard.jar、WEB-INF/libリスナーが見つからない問題を回避しました。

• 元の に存在しない Owasp.CsrfGuard.jar2 つのリスナーではなく、に付属のリスナーを使用するように web.xml ファイルを変更しました。web.xml

アプリを起動するとエラーは発生しませんが、ブラウザで/Owasp.CsrfGuard.Test/index.htmlページにアクセスすると上記のエラーが発生します。

試すアイデアはありますか？

アップデート...

数時間後、エラーなしで動作するようになりました。理由はわかりませんが、(少なくとも Tomcat では) webapp を停止して再起動した後でも、フィルター エラーが続くようです。その webapp のディレクトリの名前を変更し、Tomcat がそれを自動アンデプロイするまで 10 秒待ち、名前を元のディレクトリ名に戻し、Tomcat がそれを新しい webapp として認識するまで 10 秒待つ必要がありました。また、AJAX を使用していないため、web.xml ファイルから「x-requested-with」init-param を削除しました。それが本当に必要かどうかはわかりませんが、機能するので省略します。

現在、「protect.html」ファイルは確かに保護されていますが、保護が厳しすぎます。私はまったくそれに到達することはできません。protect.html ページに直接アクセスしようとすると、それは許可されませんが、許可されません。ただし、すべてのページが適切なトークンを取得して、適切な Web ページ フローを通過できるようにする必要があります。

問題は、protect.html ページにアクセスするにはどうすればよいかということです。

ありがとう。

私はowaspEnDeWebベースのツールを使用して、ニブルとエンコーディング全般を理解しています。であるサンプル入力をテストしていますabcd。

ここで、最初のニブルと2番目のニブルに基づいてエンコードした結果をそれぞれととして示し36,1,36,2,36,3,36,4,37,7,37,8,37,9,37,Aます6,31,6,32,6,33,6,34,7,37,7,38,7,39,7,61。

上記のサンプル入力の16進数での単純な表現はです61 62 63 64 77 78 79 7a。

簡単に言うと、ニブル1とニブル2は、それぞれLSBニブルとMSBニブルを意味します。誰かがそれがこのツールでの使用にどのように関連しているかを説明できますか？

ありがとう

SQL Server データベースにデータを保持する asp.net mvc アプリケーションを使用しています。システムに明らかに顧客を格納する顧客テーブルがあります。顧客の id は、顧客の一意の識別子を保持する ID 列であり、新しいレコードごとに 1 ずつ自動的に増加します。

mvc アプリの特定のコントローラー アクションには、顧客 ID が含まれます。get リクエストでは、セキュリティ ループ ホールが作成されることを理解しています。これにより、外部機関がデータベース構造などに関する知識を得ることができます。

コントローラー アクションで、顧客 ID の使用を別のよりあいまいなフィールドに変更することは非常に困難です。安全な方法でIDを公開する他の方法はありますか? IDを別のIDにマッピングしてセッションに保存し、この代替IDを公開することを考えていましたが、残念ながらセッションストレージは利用できません. 特定の状況では、公開された ID をユーザー セッションを超えて維持する必要がある場合があります。私が調べたもう 1 つの方法は、ID 列のシードを 1 以外の数値 (乱数 88 など) に増やすことです。これは、公開された ID が外部ユーザーにとってあまり意味がないことを意味します。

上記について何か考えや提案はありますか？

https://www.owasp.org/index.php/PHP_Top_5#How_to_Determine_if_you_are_Vulnerable_2リンクのタイトル P2: クロスサイト スクリプティング > How to Protect Against It; 項目 4 と 5 には、次のように書かれています。

1. 項目 4:フリー テキスト入力は、HTML エンティティを使用した後にのみユーザーに安全に再表示できます
2. 項目 5: URL 経由でユーザーに送り返される変数は、urlencode() を使用して URL エンコードする必要がありますが、GET 要求の使用は、ナビゲーション以外の目的では推奨されません。

私の質問

Q1

項目4については、それができると明示的に言われていますが、htmlspecialchars()それで十分で効率的であると読んだことを覚えていますhtmlentities()。( の優位性に関するソース リンクの例。Pornel_htmlspecialcharsのコメントを読んでください: PHP サイトで xss 攻撃を回避するためのベスト プラクティスは何ですか) したがって、この OWASP の入力の後で混乱します。my を、MySQL ユーザー入力データを html として画面に出力するときに使用するものに置き換える必要が あります。htmlspecialchars()htmlentities()

Q2

私のフォーム (記事の追加、コメントの追加、管理者への電子メール) では、Post - Redirect - Session Variablesフローを利用しています。GET(私の説明はばかげているかもしれませんが、フローの 3 番目のステップでは を使用しないことを意味します。代わりにGET、変数を使用します。)それでも、変数のどこかでSession使用する必要がありますか? (注: あなたが「はい」だとしても、どうすればよいかわかりません。それは私が勉強する別のトピックです。当面は「はい」または「いいえ」だけを学びたいのですが、なぜこの質問の答えが自分のもちろんHOW部分も定義していただけると大変助かります）よろしくお願い しますurlencode()Session

私は PHP と OWASP 2010 TOP 10 を扱っており、あなたの助けが必要です :)

Security Misconfigurationの使用方法の例が必要です。バグの方法を知る必要があると思います。それから、防止する方法を知ることができます。私はグーグルでいくつかを見つけようとしましたが、ほとんどはそれの概念しか得られませんでした. これをより明確に理解できるように、実際の例が必要です:)

このような入力タグがあります

次のようなクエリに ESAPI canonicalize 関数を使用してみましたが、機能せず"><script>alert(1);</script> 、ブラウザーでアラートが表示されます。私はそれを正しくやっていますか？