問題タブ [security-testing]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xss - XSS攻撃をデータベースに直接書き込むためのクロスプラットフォームツールはありますか?
最近、XSS攻撃をデータベースに直接書き込むツールでこのブログエントリを見つけました。アプリケーションをスキャンして、アプリケーションの弱点を探すのは非常に良い方法のようです。
私の開発プラットフォームはLinuxなので、 Monoで実行しようとしました。残念ながら、System.ArgumentNullException内部が深くクラッシュしMicrosoft.Practices.EnterpriseLibrary、ソフトウェアに関する十分な情報を見つけることができないようです(ホームページも開発も行われていない、単発のプロジェクトのようです)。
誰かが同様のツールを知っていますか?できれば次のようにする必要があります。
- クロスプラットフォーム(Java、Python、.NET / Mono、クロスプラットフォームCでも問題ありません)
- オープンソース(セキュリティツールを監査できるのが本当に好きです)
- さまざまなDB製品と通信できます(大きな製品が最も重要です:MySQL、Oracle、SQL Serverなど)。
編集:私の目標を明確にしたい:成功したXSS/SQLインジェクション攻撃の結果をデータベースに直接書き込むツールが欲しい。アイデアは、アプリのすべての場所で正しい出力エンコーディングが行われていることを確認したいということです。そもそもそこに到達するデータを検出して回避することは、まったく別のことです(サードパーティのアプリケーションによってDBに書き込まれたデータを表示する場合は不可能な場合があります)。
編集2:上記でリンクしたツールの作成者であるCorneliu Tusneaは、その後、codeplexでフリーソフトウェアとしてツールをリリースしました:http://xssattack.codeplex.com/
security - WebScarabBeanシェルのデバッグ
WebScarabBeanシェルを使用しています。シェルスクリプトをデバッグするための最良の方法は何でしょうか。
xss - クロスサイトスクリプティング(XSS)の実行方法
Webサイトでクロスサイトスクリプティング(XSS)を実行する方法を教えてもらえますか?テキストボックス、アドレスバーに挿入できるさまざまな種類のスクリプトは何ですか?
testing - デスクトップ ベースのアプリケーションのセキュリティ テストでは、どの側面を重視する必要がありますか?
デスクトップ ベースのクライアント サーバー アプリケーションを 1 つテストしています。そのアプリケーションのセキュリティ テストを実行したいと考えています。
デスクトップ アプリケーションのセキュリティ テストを実行する際に考慮できる点を誰か説明してもらえますか?
security-testing - Paros プロキシの詳細なチュートリアル
誰でも提案できますか、Paros Proxy の詳細なチュートリアルを見つける場所、つまり、paros でアプリケーションをテストする方法を意味します。問題のサイトで提供されている情報は、その使用法を示唆しているだけで十分ではありません。SQL インジェクションや XSS などを配置する方法が必要です。何か助けを提案してください。前もって感謝します。
security - テストされた攻撃の種類を示すレポートを生成する Web アプリのセキュリティ監査ツールはありますか?
テストから基本的なレポートを生成したいのですが、テストで OWASP のトップ 10 をカバーしたいと考えています。OWASP の ZAP レポートを見てきましたが、XY と Z がテストされたという証拠はなく、問題が強調されているだけです。発見された問題の詳細とともに発生します。
これは、Web アプリケーションのテスト方法に関する質問ではありません。問題は、脆弱性と一緒にテストされたものを特定するレポートを生成するツールはありますか?
push-notification - Worklightプッシュ通知、およびSecurityTest
iOSおよびAndroidプロジェクトでWorklightを使用しています。また、アダプタを使用しており、セキュリティテストを行っており、アダプタベースの認証を使用しています。
アダプタベースの認証機能から受信したユーザーIDでプッシュ通知を使用したい。したがって、同じsecurityTestを使用します。
プッシュイベントソースでセキュリティテストを使用しようとすると、 「データベースからアダプタをデプロイできませんでした」というエラーが発生します。
最後の行(securityTest)を削除すると、アダプターがデプロイされ、追加すると失敗します。
このsecurityTestは、他の複数のアダプター機能ですでに使用されています。
誰でも私に何が悪いのか説明できますか?前もって感謝します。
編集:これが私のセキュリティテストの定義です:
groovy - 応答の値をsoapUIの以前の値と比較する方法は?
特定の値が再生成されるかどうかをテストするために、soapUI と groovy を使用していますか?
レスポンスに ID を与える JSON を含む soapUI リクエストを作成します。tat ID を抽出して動的な場所に保存し、テスト ケースを再度実行するときに前の ID と比較できるようにする必要があります。両方が一致する場合、テスト ケースは失敗し、そうでない場合は新しい値が追加され、テスト ケースが実行されたときに前の 2 つの値が比較されます。
これは 10000 回の実行分の間続きます。そのため、10000 番目の ID をすべての 9999 番目の ID と比較して、繰り返しをチェックする必要があります。存在する場合は失敗し、そうでない場合はテストに合格する必要があります。
助けてください..よろしくお願いします!