وضعیت اول: من از طریق درخواست هایی برای گپ زدن به من وكی می كنم و می خواهم یك اسكن فعال روی آنها انجام دهم. اسکن فعال Zap به طور همزمان بر روی یک خاصیت کار می کند و این درخواست خاص نیاز به برخی از ویژگی ها در هر درخواست منحصر به فرد است.…
force brute – جلوگیری از حملات خودکار به توکن ها بدون تکیه به فایروال یا زیرساخت های شبکه
نگرانی ما بیشتر در مورد حملات خودکار پیشگیری از طرف برنامه است. اگرچه فایروال این کار را برای کمک به پیشگیری از این امر انجام می دهد ، اما در شیوه های امنیتی تیم توسعه ما موظف شده است که ما به سطح 2 بعدی حفاظت نیاز داریم. راه حل هایی مانند MFA و CAPTCHA…
نیروی بی رحم – آسیب پذیری امنیتی کافی در تنظیم مجدد رمز عبور از طریق ایمیل
دلیل این یافته این است که یک کاربر بسته به وجود آدرس ایمیل پاسخ های متفاوتی می گیرد. این می تواند به همان سادگی باشد که به او بگوییم ، که آدرس مشخص نیست ، یا چیزی ظریف تر در پاسخ است. ساده ترین اجرای برای جلوگیری از این نوع مشکل ، است که دقیقاً…
اسکنر آسیب پذیری – اسکن منفعل در حال پیشرفت را در OWASP ZAP 2.9 متوقف کنید
من می خواهم بدانم که آیا کسی می داند که چگونه یک اسکن منفعل ZAP در حال پیشرفت را در نسخه 2.9 متوقف یا سرعت بخشد. من یک صف اسکن منفعل 64000+ دارم و به هیچ وجه سریع تخلیه نمی شود. من با رفتن به گزینه ها -> قوانین اسکن منفعل و تنظیم آستانه "خاموش"…
appsec – تست برنامه های وب از دید کاربر نهایی
من در آزمایش برنامه های وب به OWASP و اشکال دیگر لیست های چک نگاه کرده ام. یکی از بهترین روشها این است که اطمینان حاصل شود که شناسه جلسه تولید شده به اندازه کافی تصادفی و غیرقابل پیش بینی است. با فرض اینکه من یک کاربر نهایی شرکت هستم بدون اینکه مجوز نصب نرم…