问题标签 [owasp]

我正在查看 Magento 中的自定义表单。我看过这些教程

http://fastdivision.com/2012/03/29/diy-magento-create-ajax-login-registration-forms-for-your-magento-theme/

http://inhoo.net/ecommerce/magento/magento-email/magento-custom-email-contact-form-with-notification-system/

我没有看到任何关于 CSRF 预防的提及，例如使用存储在用户会话中的客户端令牌检查客户端令牌。我还查看了 Magento 联系我们的表格，看到了这个，但我认为它与 CSRF 无关：

Magento 是否有任何防止 CSRF 的默认代码？Mage_Core_Controller_Front_Action 的 $this->getRequest()->getParams() 方法是否会自动执行任何操作来防止我可能丢失的 CSRF？

我们正在开发一个 ASP.NET 项目，该项目需要遵守 OWASP ASVS 清单。其中一个术语是“验证是否记录了后端 TLS 连接失败。 ”我找不到实现此目的的方法，但客户一直在坚持。有什么建议/参考吗？示例代码会更好。

这是 owasp 的链接： http ://code.google.com/p/owasp-asvs/wiki/Verification_V10

提前致谢。

你能给我一些关于如何对 GWT 应用程序进行渗透测试的信息吗？是否有任何类型的 GWT 渗透测试文档（如 owasp 测试指南）

我在 https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_Support阅读了 OWASP 的 HSTS 备忘单， 还观看了相关视频： https ://www.youtube.com/watch?v=zEV3HOuM_Vw

但我仍然不明白这在用户输入 http://site.com 的情况下如何帮助抵御中间人攻击。OWASP 声称它有帮助。

让我们想象以下场景：中间人从受害者那里获得请求：http://site.com。然后他自己向 https://site.com 发起 HTTPS 请求并将内容返回给用户，剥离 HSTS 标头。攻击者可以看到所有进一步的用户输入。

在我看来，除非我们从一开始就使用 HTTPS，否则没有办法防范 MITM。

HSTS 标头真的有助于抵御 MITM 攻击吗？

是否已经在 J​​SF 1.2 或 SEAM 2.2.2 中集成了任何东西来防止A4 不安全的直接对象引用

我知道 ESAPI 函数可以做到这一点，但如果没有必要，我不想在我的项目中包含另一个框架，JSF 或 SEAM 中有什么内置的吗？

我们实现了 OWASP 的 CSRFGuard 来保护我们在 Web 应用程序中的页面。例如 */myCsrfProtected.jsp。我们在应用程序中所有出现的 */myCsrfProtected.jsp 处都注入了 CSRF 令牌。一切正常。

但是，我们还有其他用例，其中指向此受保护页面的链接通过电子邮件发送给用户。想想报告的链接。现在，当用户单击此链接时，令牌丢失或无效，因此 CSRFGuard 过滤器会阻止请求，假设这是 CSRF 攻击。（这是为:-) 实施的过滤器）

有没有办法处理这个用例并允许从应用程序外部访问受 CSRF 保护的页面。

我一直在寻找一种可靠的方式来拥有（至少是不那么晦涩的方式）：

1. 浏览器的名称
2. 版本
3. 以及它所在的平台（OS）
4. 也许更多信息，但上面的 3 个信息就足够了。

我想根据这些信息显示自定义内容，例如：

如果用户想知道如何清除浏览器上的 cookie。假设我已经为许多浏览器提供了许多内容。版本我想自动加载适当的内容

有没有办法不涉及 Javascript 来获取这些值？

我有没有找到浏览器或不准确的用例。所以我想有最可靠的解决方案。

这里有 2 个网站可以满足我的需要：

1. www.whatismybrowser.com（联系所有者了解如何在 PHP 中进行操作）
2. HawkBrowser真的是详尽的测试，不是免费的

与部分解决方案的其他链接：

1. upgrademybrowser.org使用 2012 年 8 月的旧 browsercap（来源）
2. 谷歌的www.whatbrowser.org

花了很多天尝试，寻找，但没有成功。我从 Stackoverflow 社区发现了很多提示：

1. browsercap带有get_browser ()。该项目已停止（目前为 2012 年 8 月 8 日）并且没有检测到一些现代流行的手持设备。
2. Javascript 检测特征方法：Modernirz。对于我想做的事情来说，这不是一个好方法，时间太长了，而且必须经常更新。
3. jQuery.browser不够好没有足够的可能性。
4. quirksmode.org javascript，目前在移动设备上不准确，更喜欢 PHP 版本。

其他有用的链接：

1. Stakoverflow 答案 1
2. 堆栈溢出答案 2
3. PHP移动检测
4. PIWIK分析报告

编辑 1 到目前为止，我已经测试了答案和评论。这些解决方案非常令人满意：

• PHP mobile 检测最后一个版本非常好，如果您正在使用它，最好将示例中的表单提供给客户端，以便他们可以为项目做出贡献。（感谢@Pekka）

• WURFL不太新，但也很好。（感谢@Ian Roberts）

  编辑 2 PHP 移动检测使用 WURFL

更新

确保您收到的标头未被任何其他库修改。

例如，像OWASP PhpSec [ABANDONED]之类的一些安全库将标头结构更改为自定义对象，并且 PHP 移动检测不再能够访问它需要的所有信息

对于那些使用OWASP PhpSec [ABANDONED]的人， http 库正在修改全局标头对象结构。（2013 年 12 月）因此，如果您有问题，只需在使用http 库包含任何OWASP PhpSec类之前使用PHP 移动检测

我盲目地遵循了 OWASP 关于在 java 中生成哈希的建议（见这里），我不确定我是否正确地完成了它。具体来说，我不确定 的目的和效果MessageDigest.reset()，因此不确定何时以及如何使用它。

1. 我正在“加载”我的盐和有效负载，update()方法是多次使用不同的值对摘要进行处理，这些值完全需要签名。我应该reset()事先摘要吗？还是之后？
2. 为什么摘要reset()在循环中（参见示例）？

这是我的代码：

我观察到的是，即使在更改时签名也保持不变serialNumber。如果我省略了“reset（）”调用，sig 确实会改变......

我正在研究在完整的 https 中创建一个新站点的可能性，而不是在 https 中仅包含它的一部分，例如登录。这是基于最近的OWASP 报告中提供的指南

我正在寻找这种方法的优缺点？是的，我获得了安全感，但这样做会失去什么？所有的反馈都会很棒。

我找到了“测试指南”，但它有300 页。阅读它并为自己测试会很好，但我想知道是否有人已经完成了这项工作。当我搜索这个时，我在 OC论坛上找到了一个关于 PCI 合规性的帖子，但这是一个切题。

那么，有谁知道，具体来说，OpenCart 是否针对 OWASP 前 10 名威胁列表进行了强化？