Публикации по теме 'owasp'
Улучшенная защита CI/CD
Что такое CI/CD?
Непрерывная интеграция и непрерывная поставка являются двумя важными компонентами современной разработки программного обеспечения. Они позволяют разработчикам в любое время регулярно и безболезненно вносить дополнительные изменения в код. Аббревиатура CI относится к «непрерывной интеграции», которая представляет собой процесс, в котором используются автоматизированные этапы сборки и тестовые сценарии, чтобы гарантировать, что изменения, внесенные в код, происходят в…
OWASP, IR, ML и внутренние ошибки
Автор: Peleus Uhley , главный научный сотрудник и ведущий специалист по безопасности
Саммит OWASP — это не конференция. Это удаленное выездное мероприятие для лидеров OWASP и сообщества, где они обсуждают, как улучшить OWASP. Была серия одночасовых сессий о том, как решать различные темы и что OWASP может предложить, чтобы сделать мир лучше. Это краткое изложение некоторых наиболее интересных сессий, в которых я участвовал с моей личной точки зрения. Эти взгляды никоим образом не..
Guice Shop CTF — Убить чат-бота Challenge
Введение
Сегодня мы рассмотрим событие CTF Gusto Guice Shop. В этом мероприятии используется уязвимое веб-приложение OWASP Juice Shop , чтобы узнать, как выявлять и использовать распространенные уязвимости веб-приложений.
Что такое КТФ?
CTF (Capture The Flag) — это своего рода соревнование по информационной безопасности, в котором участникам предлагается решить различные задачи, начиная от поиска мусора в Википедии и заканчивая базовыми упражнениями по программированию и взломом..
Проблема CSRF объяснена и решена
В последние несколько дней я пытался объяснить проблему CSRF одному из моих коллег, а также решение проблемы. Я подумал, что мне также следует вложить свои мысли в письмо.
В этой статье я кратко рассмотрю следующие темы:
Проверка подлинности файлов cookie CSRF проблема Решение CSRF Aspnet Core 2.1 и пример Angular ( github )
1. аутентификация файлов cookie
Пользователь аутентифицируется на веб-сервере Веб-сервер проверяет учетные данные и возвращает ответ браузеру. Ответ..
Магазин соков — ДЕНЬ 2
Если вы пропустили первый день, проверьте это здесь:
https://medium.com/@osintiostom/owasp-juice-shop-63d1c328192b
Как получить список всех учетных данных пользователя с помощью SQL Injection
Я нашел это в main.js
Единственной страницей, которая предоставляла другую информацию, когда я вошел в систему, была /adminstration.
SQL-инъекция http://webapplication21.herokuapp.com/rest/product/search?q=’)) UNION SELECT FROM Users —
Пришлось исследовать, что это значит, в..
Использование уязвимости бизнес-логики: логика высокого уровня
«Пользовательский ввод» - это те значения или действия, для которых необходимо взаимодействие с пользователем, такое как ввод любого значения с клавиатуры, щелчок по кнопке и, наконец, отправка этих значений.
Итак, мы понимаем, что пользователи могут вводить что угодно или значения, принадлежащие к любому типу данных, но для поддержания логики приложения мы должны ограничить ввод данных пользователем, запросив сообщение об ошибке.
Поэтому перед сохранением или использованием любых вводов,..
Подмена электронной почты: как это происходит и способы устранения
Что такое спуфинг электронной почты:
Заголовок электронного письма « FROM » имеет дефекты конструкции, и очень легко получить почтовый сервер и отправить электронные письма, подделав адрес FROM. Это представляет серьезную угрозу для организации, потому что, если человек может выдать себя за организацию, может быть вероятность того, что хакер может отправить фишинговое письмо пользователям с просьбой сбросить пароль, а затем украсть их учетные данные. Спуфинг электронной почты..
