1回答
我想知道我和我们的.NET/AngularJS网络开发者团队是否有任何与编写安全代码相关的免费认证,我也做过同样的搜索(并且知道OWASP,isc2.org,sans.org),但是我不知道哪一个是免费的,还是行业最好的。
浏览 0提问于2016-09-14得票数 -3
1回答
我的需求是使用TFS DevOps管道进行“身份验证扫描”,为此,我在TFS下添加了"OWASP Zed Attack Proxy Scan“扩展,并在管道中添加了任务。另外,我还安装了OWASP桌面应用程序(2.10.0),在网站上的“未认证模式”下工作得很好,但我需要做“认证扫描”,这样工具才能在登录页面后识别错误/漏洞,如何做到这一点?
浏览 29提问于2021-10-05得票数 1
1回答
我读了一些文档,他们说OWASP是用于web应用程序的安全目的。但我不清楚这一点。谁能告诉我的目的,有什么区别正常的应用程序(没有owasp)和安全应用程序(有owasp),为什么我们需要它。你能给我一些可运行的angularjs例子来做以下事情吗2)A3:破解的认证和会话管理4)A5:跨站请求伪造6
浏览 2提问于2016-03-01得票数 0
1回答
阻止直接访问rtsp链路
、、、、
我计划使用Darwin streaming server和VLC库构建流服务器和流媒体播放器客户端。我的目标是只通过我的客户端,可以访问达尔文流媒体服务器上的视频。如果不使用我的客户端,我不希望任何人访问我的RSTP链接。因为当我得到像rtsp://localhost/myvideo.mp4这样的任何RTSP链接时,我可以直接在VLC播放器上播放它。但是,有没有可能在不使用我在Darwin Streaming Server上配置的客户端的情况下阻止对RTSP链接的直接访问?
浏览 5提问于2017-12-14得票数 0
我是一名数学家,我有PhD,我擅长于随机过程,金融,定价和套利理论,我在Q1杂志上发表过文章,但我仍然觉得我遗漏了一些东西.你能建议我采取什么具体措施来接近这一领域的工作吗?我擅长数学,我能写和读代码(在python方面有很多经验,在c++方面也有一些经验),我认为我擅长学习。
浏览 0提问于2023-01-09得票数 1
1回答
同时,我还获得了CEH (认证伦理黑客)证书和CISSP证书。
我想要转移到安全行业,而不是研发环境作为我的下一步计划。因此,什么样的证书可以是我的下一个目标?
浏览 0提问于2018-09-05得票数 0
回答已采纳
1回答
我们正在使用Keycloak身份服务器,它将负责我们的新的多层次营销网站的认证和授权。
我们的团队正在讨论如何在本地数据库中单独维护授权概念。因为我们只需要使用ID服务器进行身份验证,所以似乎。
浏览 0提问于2017-06-22得票数 2
回答已采纳
2回答
OWASP会话管理备忘单(https://www.owasp.org/index.php/Session_管理_作弊_板材)建议实现绝对会话超时(除了空闲会话超时之外)。我正在处理的应用程序将被放置在内部公司网络中,并被用户用来执行他们每天的工作责任,所以频繁的重新认证请求可能是一个可用性问题。
浏览 0提问于2015-11-29得票数 16
回答已采纳
我们一直在执行基于OWASP标准的应用程序安全测试。我们使用JIRA报告错误或改进。但是,我们有没有办法为这些类型的测试建立一个通用的测试用例,从而使它成为我的发布和部署认证过程的一部分,并成为审计就绪记录。
浏览 0提问于2019-07-22得票数 -1
1回答
SPA中的令牌存储和刷新选项
、、、、
我一直在阅读Aaron关于基于浏览器的应用程序的草稿(意为使用OAuth 2和OWASP安全指南开发的SPA(类似于使用React或confused)的认证最佳实践),这让我感到非常困惑:
RFC的草案提到了旋转刷新令牌我已经检查了okta的JS库,它默认使用localStorage,这是OWASP指南推荐的。它有额外的保护吗?我应该把一些额外的消化,也把它放在一个曲奇,并匹配他们?OWASP建议会话it应该对客户完全不透明,但是如果我们使用JWT,难道它不违反这个原则吗?这是否意味着我应该始终用对称密码加密我的JWT
浏览 2提问于2020-01-21得票数 7
回答已采纳
我试图使用ZAP的python来使用OWASP的基于表单的身份验证功能。
我注意到,在使用HTTP应用程序(例如- )时,它能够在登录后提供额外的URL。
浏览 0提问于2018-05-10得票数 2
1回答
我想开发一个比特币网站,让用户将btc存入他们的私人地址,网站将产生,我被告知,我需要一个信息安全专家,以防止任何类型的黑客入侵该网站。
我想知道这种网站会有什么样的漏洞?除了我所知道的SQL注入
浏览 0提问于2018-01-01得票数 -4
回答已采纳
1回答
我试图研究服务器端和客户端语言的可用安全编码准则。对于安全的编码,应该遵循像Veracode这样的非供应商文档吗?是否所有脚本/编程语言都有安全的编码指南?程序或框架创建者是否必须发布安全编码指南?
浏览 0提问于2019-04-24得票数 1
我需要提交培训和旅行申请的时间越来越近了。我正在寻找未来12个月的会议和课程,旨在改善编码和软件开发,最佳实践,系统架构等。他们需要在美国或加拿大,因为我永远不会获得批准的任何其他。
浏览 2提问于2008-09-10得票数 2
OWASP声明:这句话有多真实?这是否意味着如果我们的网站采用强制性的多因素认证(例如谷歌认证器),那么我们就可以安全地取消"IP地址登录限制“和”每个帐户登录限制“机制?
如果没有登录限制,是否仍然可以通过多因素身份验证强制执行?
浏览 0提问于2014-06-07得票数 6
回答已采纳
1回答
是否有办法使OWASP发送客户端证书?"400 Bad Requestnginx/1.10.2"
看起来,我需要让OWASPFirefox、OWASP和Selenium项目。以前,它只是Selenium和Firefox
浏览 0提问于2018-08-17得票数 1
回答已采纳
1回答
所以我的问题是:假设代理在端口A上运行,后端服务在端口B上运行,我希望使用Owasp ZAP被动地扫描所有请求。对于被动扫描,ZAP会话是否需要以任何方式对自身进行身份验证?
浏览 70提问于2021-06-24得票数 1
回答已采纳
此外,我们的系统认证需要一个强大的密码,多因素认证,兼容设备和低登录风险(来自在线风险分析)。
在这种情况下,我相信随机化用户名相对于高管理开销而言是一种低安全性的好处。对此是否有任何官方的NIST、NCSC、ISO或OWASP建议?
浏览 0提问于2021-08-26得票数 1
云服务器
ICP备案
对象存储
云直播
腾讯会议
腾讯云开发者
