测试团队使用OWASP工具(GUI版本)扫描新版本的漏洞。这通常需要半个小时到90分钟。
如何在CI/CD中以一种快速(5分钟以下)的方式将扫描包括进来,但仍然提供反馈?
浏览 0提问于2021-11-09得票数 1
回答已采纳
1回答
例如,我在ZAP代理中安装了反CSRF扫描规则,并扫描了一个POST请求,该请求不验证后端的CSRF令牌值。理想情况下,这是CSRF漏洞,但ZAP代理扫描器没有检测到这一点。我想知道我是否正确地做了扫描,但找不到任何地方来验证配置。反CSRF规则
📷
浏览 0提问于2020-11-11得票数 2
我知道我可以使用Generate特性来测试我是否有CSRF漏洞,但是一旦我减轻了这个漏洞,Burp将如何在下一次扫描中识别这个修复?我需要能够通过运行Burp扫描向客户证明该漏洞不再存在。
浏览 0提问于2015-10-30得票数 5
1回答
我正在使用Django为我的雇主创建一个简单的网站,我不得不通过安全扫描运行代码来测试漏洞。其中一个问题是cookie漏洞,我可以找到要查找的文档。
CVSS: 5.0消息: csrftoken有问题csrftoken = J4S6ZO7ssz4TUIlRNv9d95mCFomAbXO1; Host我找不到它使用谷歌,我不能提出网站,直到这
浏览 2提问于2016-08-03得票数 2
假设我们有一个合法的网站A和一个恶意网站B。这意味着这样的网站不能对其他网站C、D等发起CSRF攻击。或者,攻击者是否可以创建一个网站,对用户目前在浏览器中打开的任何其他网站进行CSRF攻击?
浏览 0提问于2017-02-23得票数 0
回答已采纳
可能重复: 最好的免费漏洞扫描器检查您的网站PHP &MySQL代码?
我正在寻找一个免费的漏洞扫描器来检查我的网站是否有常见的漏洞等等。有人能列出最好的免费漏洞扫描器吗?
浏览 0提问于2010-12-18得票数 0
1回答
我听说没有专门的工具来测试和发现网站的CSRF漏洞。因此,从安全测试人员的角度来看,如何测试CSRF漏洞?
浏览 0提问于2014-09-18得票数 10
回答已采纳
是否可以通过单击劫持漏洞执行CSRF?
假设我的网站被完全保护不受csrf攻击,但是没有XFO,那么有任何方法可以通过点击攻击漏洞来利用CSRF吗?我听说过xmlhttprequest,如果没有XFO但有csrf保护,可以使用它来执行csrf,所以有什么想法吗?
浏览 5提问于2014-04-21得票数 3
回答已采纳
6回答
测试黑客的企图
、、、
我想确保我的网站被保护免受黑客攻击,我认为最好的测试方式是尝试和黑我自己的网站。黑客会做什么样的事情来攻击我的网站呢?为了确保我的网站是安全的,我还能用什么东西来测试呢?
浏览 3提问于2011-06-06得票数 5
回答已采纳
1回答
网站漏洞扫描工具
、、
因此,我正在寻找一个满足以下需求的工具
vulnerabilitiesCan 扫描本地托管的网站(如在同一台机器上作为工具),以便安装 be (即,没有基于#1的基于web的)。让我知道我是否不够具体,或者这是否更适合于网站管理员SE。
浏览 3提问于2011-05-18得票数 3
回答已采纳
2回答
我需要测试漏洞扫描器,如Nessus、Nmap等。我的老师告诉我,有一些已经准备好的网站(这些扫描器需要目标的IP地址来扫描)具有已知的漏洞,可以使用这些扫描器直接扫描,而无需在我的机器上安装本地设备。但我找不到合适的解决办法。你有什么建议吗?最好是我可以直接扫描的任何带有漏洞的IP地址。非常感谢各位。
浏览 0提问于2020-05-11得票数 0
回答已采纳
我在我的ci_csrf_token中使用了forms.but隐藏字段--脚本中的任何形式--使用Acunetix漏洞扫描器发出警报。警报详细信息: <input type=“隐藏的”name="ci_csrf_token“value=\”onmouseover=prompt(965267) bad=\&q
浏览 0提问于2012-03-10得票数 1
回答已采纳
Web应用程序漏洞和潜在的假阳性
作为渗透测试器,应用程序漏洞扫描是任何渗透测试方法的重要组成部分。在应用程序扫描阶段,可能会出现几种不同类型的漏洞。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用程序errors使用扫描仪时,您可以放心地遇到假阳性。根据我的经验,SQL注入<e
浏览 0提问于2014-10-15得票数 1
我们使用SonarQube扫描安全漏洞(和其他东西)。我想知道SonarQube是否真的发现了重要的安全问题。Override http // use stateless sessions
.sessionManagement().sess
浏览 8提问于2019-10-08得票数 0
回答已采纳
当我使用ZAP扫描一个特定的web应用程序时,它显示该站点有“没有SameSite属性的Cookie”,我读到我们可以针对此漏洞执行CSRF攻击。有人能给我解释一下怎么做吗?
浏览 53提问于2019-12-28得票数 0
1回答
我最近刚刚开始使用Zed Attack Proxy(ZED)来检查OWASP漏洞,我正在尝试让它扫描我的整个网站。我已经成功地让它作为用户登录,并从那里扫描,但登录后它仍然留在主页上。有没有办法让它扫描整个网站的其他页面?另外,有没有一种方法只测试特定的漏洞,还是更广泛地扫描所有东西?我仍然是这个软件的新手,所以任何帮助都是非常感谢的。
谢谢,
浏览 3提问于2017-05-03得票数 0
我们的客户之一扫描我们的网站,并分享以下qualys漏洞。我们在Apache/2.2.22中使用“Ubuntu12.04.5LTS”。我们已经实现了很多选项,提到的是这个url
但每次扫描都会发现这个漏洞。
我们现在该怎么办?
浏览 0提问于2015-04-15得票数 2
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
