问题标签 [security-testing]

在 ExtJs(ExtJs 3.1) 的 CellEditing 插件中，如果我们像><img src=0 onerror=alert(99)>在任何单元格中一样放置安全字符串，那么它就会执行（将显示警报）。我们可以使用任何 beforeEdit 或 Validateedit 或编辑事件来防止这种情况发生吗？

我浏览了 OWASP ZAP，发现 ZAP 需要 Web 应用程序的端点。但是，我仍然尝试提供我们微服务的 REST API 的 URL，但我收到了 404 错误。我认为 OWASP ZAP 扫描 HTTP GET 方法并且不允许 POST 方法或其他方法。

下面是ZAP的截图： 链接到ZAP的截图

我知道有一篇与测试 REST API 相关的帖子，但该帖子我并不完全清楚，也与微服务无关。请推荐任何更好的开源软件以及我们可以轻松进行 VAPT 测试的方法。

谢谢

我试图在我的 Ubuntu 18.04 桌面机器上安装 QARK。我正在关注 Linked In 提供的一些文档，但它对我不起作用。

我想在我自己的堆栈上对我的 API 进行模糊测试，这些堆栈托管在 AWS 环境中（使用过 lambdas 和 API 网关）

大多数是 GET API，只有一个 PUT API。我的要求是对 API 标头和正文进行模糊测试。为此，我计划对某些有效负载使用文件模糊测试技术。

我的模糊测试是否需要获得 AWS 的笔测试批准？

我正在使用 IBM AppScan Standard。当我运行扫描时，在左侧窗格中选择了“基于 URL”按钮，我可以看到 AppScan 已找到并将被扫描的不同 URL。在扫描过程中，我知道在窗口底部您可以看到正在测试的当前 URL，但有没有其他方法可以判断某个 URL 是否已被完全扫描？

我试图在端口 8080 上使用 java 和 selenium 打开页面。我尝试使用页面和 :8080 但页面不断在不同的端口上打开。我基本上是在尝试使用 zap 并将其配置为在端口 8080 上使用 firefox。感谢任何帮助。我已经添加了我的测试并将我的类添加到下面的测试中，我认为在驱动程序部分的某个地方它必须调用不同的端口，但我看不出这是如何发生的

测试：

十二月班：

}

鉴于 JMeter 不是浏览器，仅模拟浏览器的操作，有没有人尝试过使用 JMeter 进行跨站点脚本测试？我在网上阅读了一些关于如何使用 JMeter 进行安全测试的文章，但我没有遇到任何详细说明尝试进行跨站点脚本测试的工作。

我已经使用 JMeter 进行了性能测试，但是我想不出任何使用 JMeter 执行 XSS 测试的方法。所以很想听听这方面的想法和想法，谢谢。

我们在 node js 中有应用程序，可以在桌面 chrome 中打开并使用 firebase 作为后端。现在所有的请求都可以被拦截并显示在 chrome 网络控制台上，这是一个安全问题。我们如何才能停止显示一些请求，例如附加文件名或身份验证等的 url，以便中间的人无法播放

使用 Firefox：我使用 ZAP 代理使用有效凭据进行身份验证我捕获302响应代码和有效 cookie。

使用 Chrome：我提供了错误的凭据，并将响应替换为302包含有效捕获的 cookie 的捕获响应。我现在可以登录到应用程序。

这是发现假阳性案例吗？

如果不是，那么解决此问题的缓解措施是什么。

缓解建议：

应验证多个浏览器和多台机器中的多个用户登录。如果匹配，则使现有 cookie 无效并使用户再次进行身份验证。

我是一名渗透测试员，没有应用程序代码。

如果不提供有效凭据，用户不应通过应用程序的身份验证。

目前，我们每月发布一次。本月，我使用 OWASP ZAP 手动探索了应用程序并保存了会话。在下一个版本中，即下个月我可以使用相同的会话来测试新版本吗？