問題タブ [owasp]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

984 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
7011 参照

php - MagentoCSRF保護

Magentoのカスタムフォームを見ています。私はこれらのチュートリアルを見ました

http://fastdivision.com/2012/03/29/diy-magento-create-ajax-login-registration-forms-for-your-magento-theme/

http://inchoo.net/ecommerce/magento/magento-email/magento-custom-email-contact-form-with-notification-system/

ユーザーセッションに保存されているものでクライアントトークンをチェックするなど、CSRF防止についての言及はありませんでした。Magentoのお問い合わせフォームも確認しましたが、CSRFとは関係がないと思います。

MagentoにはCSRFを防ぐためのデフォルトコードがありますか?Mage_Core_Controller_Front_Actionの$this->getRequest()-> getParams()メソッドは、CSRFが欠落しているのを防ぐために、自動的に何かを行いますか?

0 投票する
1 に答える
720 参照

asp.net - OWASP ASVS V10.4 バックエンドの TLS 接続の失敗がログに記録されていることを確認する ---- どのように?

私たちは、OWASP ASVS チェックリストに準拠する必要がある ASP.NET プロジェクトに取り組んでいます。用語の 1 つは、「バックエンド TLS 接続の失敗がログに記録されていることを確認する」です。これを達成する方法を見つけることができませんでしたが、顧客は私たちにそれを求めています。提案/参照はありますか?サンプルコードはさらに良くなります。

owasp へのリンクは次のとおりです: http://code.google.com/p/owasp-asvs/wiki/Verification_V10

前もって感謝します。

0 投票する
2 に答える
1489 参照

security - GWT アプリケーションのペンテスト

GWT アプリケーションの侵入テストの方法を教えてください。GWT の侵入テスト ドキュメント (owasp testing guide など) はありますか?

0 投票する
2 に答える
2602 参照

security - HSTSヘッダーはMITM攻撃に対して本当に役立ちますか?

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_SupportでOWASPのHSTSチートシートを読み 、関連するビデオも視聴しました: https ://www.youtube.com/watch?v=zEV3HOuM_Vw

しかし、それでも、ユーザーがhttp://site.comと入力した場合に、これが中間者攻撃に対してどのように役立つかを理解できません。OWASPはそれが役立つと主張しています。

次のシナリオを想像してみましょう。仲介者が被害者からリクエストを受け取ります:http://site.com。次に、https://site.comにHTTPSリクエストを送信し、コンテンツをユーザーに返し、HSTSヘッダーを削除します。それ以降のすべてのユーザー入力は、攻撃者に表示されます。

私の考えでは、最初からHTTPSを使用しない限り、MITMから保護する方法はありません。

HSTSヘッダーはMITM攻撃に対して本当に役立ちますか?

0 投票する
1 に答える
964 参照

jsf - OWASP TOP 10 - 4. 安全でない直接オブジェクト参照 - JSF 1.2 + JAVA + SEAM の ESAPI 以外の方法

A4-Insecure Direct Object Referencesを防ぐために、JSF 1.2 または SEAM 2.2.2 にすでに統合されているものはありますか?

それを行うための ESAPI 関数は知っていますが、必要でない場合はプロジェクトに別のフレームワークを含めたくありません。JSF または SEAM に組み込まれているものはありますか?

0 投票する
1 に答える
942 参照

java - CSRFGuard と電子メールで送信されたページのリンクの保護

Web アプリケーションのページを保護するために、OWASP の CSRFGuard を実装しました。たとえば、*/myCsrfProtected.jsp です。アプリケーション内のすべての */myCsrfProtected.jsp に CSRF トークンを挿入しました。すべて正常に動作します。

ただし、この保護されたページへのリンクが電子メールでユーザーに送信される別の使用例があります。レポートへのリンクについて考えてみましょう。ユーザーがこのリンクをクリックすると、トークンが見つからないか無効になるため、CSRFGuard フィルターはこれが CSRF 攻撃であると想定してリクエストをブロックします。(これは、フィルタが実装されているものです:-))

このユース ケースを処理し、アプリケーションの外部から CSRF で保護されたページへのアクセスを許可する方法はありますか。

0 投票する
2 に答える
5882 参照

javascript - PHPでブラウザ、バージョン、プラットフォームを検出する信頼性の高い方法

私は(少なくともあまり目立たないものを)持つための信頼できる方法を探していました:

  1. ブラウザの名前
  2. バージョン
  3. そしてそれが置かれているプラ​​ットフォーム(OS)
  4. おそらくもっと多くの情報がありますが、上記の3つの情報で十分です。

これらの情報に従ってカスタムコンテンツを表示したいのですが、例:

ユーザーが自分のブラウザでCookieをクリアする方法を知りたい場合。多くのブラウザですでに多くのコンテンツを利用できるとしましょう。バージョンそして私は適切なコンテンツを自動的にロードしたい

これらの値を取得するためにJavascriptを使用しない方法はありますか?

ブラウザが見つからない、または不正確なユースケースがあります。だから私は最も信頼できる解決策が欲しいです。

これが私が必要としていることを正確に行う2つのウェブサイトです:

  1. www.whatismybrowser.com(PHPでそれを行う方法を知るために所有者に連絡しました)
  2. HawkBrowser本当に徹底的なテスト、無料ではありません

部分的な解決策とのその他のリンク:

  1. 2012年8月の古いbrowsercapを使用したupgrademybrowser.org ソース
  2. Googleのwww.whatbrowser.org

何日もかけて試してみましたが、成功しませんでした。Stackoverflowコミュニティから多くのヒントを見つけました:

  1. get_browser ()を使用したbrowsercap。プロジェクトは中止され(現在は2012年8月8日)、最新の人気のあるハンドヘルドデバイスは検出されません。
  2. Javascript検出機能アプローチ:Modernirz。私がやりたいことには良くないアプローチであり、長く、頻繁に更新する必要があります。
  3. jQuery.browser十分ではない可能性が十分ではありません。
  4. quirksmode.org javascriptであり、現時点ではモバイルでは正確ではなく、PHPバージョンを好むでしょう。

その他の便利なリンク:

  1. Stakoverflow Answer 1
  2. Stackoverflow Answer 2
  3. PHPモバイル検出
  4. PIWIK分析レポート

編集1 これまでのところ私は答えとコメントをテストしました。これらのソリューションは非常に満足のいくものです。

  • PHPモバイルは、最後のバージョンが本当に良いことを検出します。これを使用している場合は、クライアントがプロジェクトに貢献できるように、例のフォームをクライアントに提供するとよいでしょう。(@Pekkaに感謝します)

  • WURFLは最近ではありませんが、非常に優れています。(@Ian Robertsに感謝します)

    編集 2PHPモバイル検出はWURFLを使用します

アップデート

受け取ったヘッダーが他のライブラリによって変更されていないことを確認してください。

たとえば、OWASP PhpSec [ABANDONED]などの一部のセキュリティライブラリはヘッダー構造をカスタムオブジェクトに変更し、 PHPモバイル検出は必要なすべての情報にアクセスできなくなります

OWASP PhpSec [ABANDONED]を使用している方のために、httpライブラリはグローバルヘッダーオブジェクト構造を変更しています。(2013年12月)したがって、問題が発生した場合は、 httpライブラリを使用してOWASP PhpSecクラスを含める前に、PHPモバイル検出を使用してください。

0 投票する
2 に答える
7224 参照

java - MessageDigest.reset() を使用する場合

Java でのハッシュ生成に関する OWASP の推奨事項にやみくもに従ってきました (こちらを参照)。具体的には、 の目的と効果がよくわからないMessageDigest.reset()ため、いつ、どのように使用すればよいかわかりません。

  1. update()完全に署名する必要があるさまざまな値を使用してダイジェストを数回 ing することにより、salt とペイロードを「ロード」しています。reset()事前に消化する必要がありますか?それともその後?
  2. ダイジェストがreset()ループ内にあるのはなぜですか (例を参照)。

これが私のコードです:

私が観察しているのは、serialNumberが変わっても署名が同じままであることです。「reset()」呼び出しを省略した場合、sig は変更されます...

0 投票する
3 に答える
83 参照

.net - httpsのサイトの長所と短所は?

ログインなどの https で一部だけを使用するのではなく、完全な https で新しいサイトを作成する可能性を検討しています。これは、最近のOWASP レポートで提供されたガイドラインに基づいています。

このアプローチの長所と短所を探していますか? はい、私はセキュリティを獲得しますが、そのようなことで何を失うのですか? すべてのフィードバックは素晴らしいでしょう。

0 投票する
1 に答える
459 参照

php - OpenCartはOWASPトップ10に対して強化されていますか?

「テストガイド」を見つけましたが、300ページあります。それを読んで自分でテストするのはいいことですが、誰かがすでにこの作業を行っているかどうかを知りたいです。これについて検索したときに、PCIコンプライアンスに関するスレッドをOCフォーラムで見つけましたが、それは接線の問題です。

それで、特に、OpenCartがOWASPトップ10の脅威リストに対して強化されているかどうかを誰かが知っていますか?


12345678910