問題タブ [zap]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - ログインは SSL 経由でプレーンテキストで送信されますか?
OWASP ZAP (ローカル ブラウザー トラフィック スニッフィングに使用されるプロキシ) を使用して SSL を有効および無効にして Web サイトをテストしていたところ、HTTPS と HTTP の両方でログインがプレーンテキストで送信されていることに気付きました。これを防ぐ方法はありますか?
サイトを作成するための Java IDE として Tomcat 8 と Eclipse Mars を使用しています。(下の画像、適切に提出するのに十分な担当者がいないため )午前20時.png
javascript - OWASP ZAP ファジング - 入力パラメーターが文字列として応答に反映されますが、それでも XSS ですか?
元の問題はここにあります: http://stackoverflow.com/questions/29223275/owasp-zap-reported-alert1-xss-vulnerability-but-no-popup-showed-up
開発者は、HttpUtility.JavaScriptStringEncode を使用して文字列を JavaScript にエンコードすることで、この問題を修正しました。OWASP ZAP を使用してパラメーターをファジングした後も、結果リストに (Reflected) 黄色のボールがいくつか表示されます。黄色のボールのアイテムをクリックすると、応答のハイライトは次のようになりました。
DataSet.FilterBuilder.QueryValuesDictionary['57_ctl00'] = "アラート(1)";
ご覧のとおり、攻撃されたコードは単純な文字列であり、実行されません。今は安全で、これは単なる誤検知だと言えますか?
security - zap 攻撃プロキシ (zap) で render html が表示されないのはなぜですか?
zed 攻撃プロキシ ツールを使用しています。新しいバージョンの応答タブにレンダリングされた html が表示されません。どうしたの。
authentication - ZAP ツールに認証を追加して URL を攻撃する
認証の詳細を ZAP ツールに渡して Web サイトをスキャンする方法。問題を解決するのを手伝ってください。
django - SESSION_COOKIE_HTTPONLY = True が Django で機能しない:
に次のコードを設定しましたsettings.py。
ドキュメントはこれがデフォルトだと言っていますが。
次に./manage.py runserver、サイトで OWASP Zap スキャナーを使用して実行します。しかし、OWASP zap は、Cookie が HttpOnly フラグなしで設定されたことを示しています。
と を使用してサイトをサーバーするときにも、この問題が発生しgunicornますnginx。このフラグを設定するにはどうすればよいですか?
を使用してdjango 1.8; 該当する場合、ページaccounts/loginは によって管理されdjango-registration-reduxています。