问题标签 [owasp]

接收 WCF 响应时可能发生哪些不同类型的威胁？防止此类威胁的缓解计划可能是什么？

注意：此查询基于 WCF 威胁建模概念。

我正在尝试使用它的 IP 地址访问我的网站，之前它工作正常。但是在我安装并配置了 mod_security 和 mod_security OWASP 之后，Apache 给出了 403 错误。

Forbidden
您无权访问此服务器上的 /。

应该怎么做才能使用浏览器中的 IP 访问网站？

是否有安全资源/博客文章展示了 ADFS 2.0（或通用 SSO）与OWASP - 十大漏洞列表的优点？

ASP .NET 的好资源很少（Troy Hunt中最好的资源）。但他们都没有谈到 ADFS 2.0。ADFS 2.0 wrt 对 OWASP 有什么附加价值吗（肯定有！！）？建设性的讨论也将受到赞赏。

为什么我会得到：

尝试在 Tomcat 5.5 上运行0wasp.CsrfGuard.Test示例应用程序时？

我使用的示例应用程序与下载时完全一样，但进行了以下更改以规避listener错误：

• 我下载了 CsrfGuard 3.0.0 包并将其复制Owasp.CsrfGuard.jar到WEB-INF/lib以绕过未找到的侦听器。

• 我更改了 web.xml 文件以使用附带的侦听器，Owasp.CsrfGuard.jar而不是原始web.xml中不存在的两个侦听器。

当我启动应用程序时没有错误，但是当我将浏览器指向该/Owasp.CsrfGuard.Test/index.html页面时，出现上述错误。

有什么想法可以尝试吗？

更新...

几个小时后，我让它正常工作。我不明白为什么，但即使在停止并重新启动 web 应用程序（至少在 Tomcat 中）之后，过滤器错误似乎仍然存在。我不得不重命名该 webapp 的目录，等待 10 秒钟让 Tomcat 自动取消部署它，将它重命名回原来的目录名称，然后等待 10 秒钟让 Tomcat 将其识别为新的 webapp。我还从 web.xml 文件中删除了“x-requested-with”init-param，因为我不使用 AJAX。不知道这是否真的需要出来，但它有效，所以我把它排除在外。

现在，“protect.html”文件确实受到了保护，但它被保护得太好了。我根本无法理解。如果我尝试直接进入protect.html 页面，它不应该允许这样做，它不允许。但是，它应该允许我通过正确的网页流程到达那里，所有页面都获得正确的令牌。

现在的问题是如何访问protect.html 页面？

谢谢。

我正在使用基于 Web 的 owasp EnDe 工具来理解 nibbles 和一般编码。我正在测试一个样本输入，它是abcd.

现在，根据第一个半字节和第二个半字节对其进行编码的结果分别为36,1,36,2,36,3,36,4,37,7,37,8,37,9,37,A和6,31,6,32,6,33,6,34,7,37,7,38,7,39,7,61。

上述示例输入的十六进制简单表示是61 62 63 64 77 78 79 7a.

简单来说，半字节 1 和半字节 2 应该分别是 LSB 半字节和 MSB 半字节。有人可以解释它与该工具的使用有何关系吗？

谢谢

我正在使用一个将数据保存在 sql server 数据库中的 asp.net mvc 应用程序。它有一个客户表，显然将客户存储在系统上。客户的 id 是一个身份列，其中包含客户的唯一标识符，每个新记录都会自动递增 1。

对于 mvc 应用程序中的某些控制器操作，包括客户 ID。我理解在获取请求中，这会产生一个安全漏洞。它使外部机构能够获得有关数据库结构等的知识。

在控制器操作中从使用客户 ID 更改为另一个更模糊的字段会造成很大的困难。有没有其他方法可以安全地暴露 id？我正在考虑将 id 映射到另一个 id 并将其存储在 session 中，公开这个替代 id 但不幸的是 session 存储对我不可用。在某些情况下，暴露的 id 可能需要在用户会话之后维护。我看到的另一种方法是将标识列上的种子增加到 1 以外的数字，比如说随机数 88。这意味着暴露的 id 对外部用户的意义较小。

对以上内容有什么想法或建议吗？

在https://www.owasp.org/index.php/PHP_Top_5#How_to_Determine_if_you_are_Vulnerable_2链接，标题 P2：跨站点脚本 > 如何防范它；在第 4 和第 5 项中写道：

1. 第 4 项：自由文本输入只有在使用 HTML 实体后才能安全地重新显示给用户
2. 第 5 项：通过 URL 发送回用户的变量必须使用 urlencode() 进行 URL 编码，但不推荐使用 GET 请求用于导航以外的任何用途

我的问题

第一季度

对于第 4 项，它明确表示can only但我记得我读过这htmlspecialchars()与htmlentities(). （关于 . 的优越性的示例源链接htmlspecialchars。请阅读Pornel_的评论：在 PHP 站点中避免 xss 攻击的最佳实践是什么）所以我在输入 OWASP 后感到困惑。当我将 MySQL 用户输入的数据作为 html 打印到屏幕上时，我是否应该用我使用的htmlspecialchars()替换我 的。htmlentities()

第二季度

对于我的表单（添加文章、添加评论、向管理员发送电子邮件），我使用Post - Redirect - Session Variables流程。（我的解释对你来说可能很愚蠢，但我的意思是我不在GET流程的第三步使用。GET我使用Session变量而不是 。）所以我还需要urlencode()在Session变量的某个地方使用吗？（注意：即使你是，我也不知道HOW，那是我要研究的另一个话题，我暂时只想学习yes或no以及为什么我在我的文章中找不到这个问题的答案研究。当然，如果您也定义了 HOW 部分，我们将不胜感激）

提前
致谢

我正在使用 PHP 和 OWASP 2010 TOP 10，需要您的帮助 :)

我需要一个如何使用Security Misconfiguration的示例，我想我需要知道如何解决错误，然后才能知道如何预防。我试图通过谷歌找到一些，但大多只知道它的概念。我需要一个实际的例子，这样我才能更清楚地理解这一点:)

我想保护我的应用程序免受 csrf 的影响，所以我添加 owasp.csrf.jar 并按照此处所述配置我的应用程序然后我将隐藏字段添加到我的带有 csrf 令牌标签的表单之一，如下所示：

但是当我的页面呈现时，我在TokenNameTag.java中得到 NPE

我错过了什么？

更新

堆栈跟踪：

我有一个这样的输入标签

我尝试使用 ESAPI canonicalize 函数进行查询，"><script>alert(1);</script> 但它不起作用，我在浏览器中收到警报。我做对了吗？