问题标签 [security-testing]

我正在开发 Spring Boot 和 Spring Rest 应用程序。安全测试报告了这个问题

“Web 应用程序或服务使用 HTTP 响应标头 Access-Control-Allow-Origin 通知 Web 客户端允许的域。标头可以包含一个 '*' 表示允许所有域。”

补救 -

仅在需要跨域访问的选定 URL 上使用 Access-Control-Allow-Origin 标头。不要将标头用于整个域。

在发出 HTTP 请求时，他们使用了origin: null, 然后Access-Control-Allow-Origin: *

我该如何实施？

我们有一个非常大的 Web 应用程序，有大约 1000 个页面要测试（www.project-open.com，服务公司的项目 + 财务管理应用程序）。每个页面可能有多个参数（对象 ID、过滤器、用于排序的列名，...）。我们现在要对这些参数实施额外的安全检查，因此我们需要系统地测试 a) 攻击性参数值被拒绝和 b) 应用程序实际使用的参数值是否被正确接受。

示例：我们可能想说页面中的 sort_column 参数应该只包含字母数字字符。但现实中的应用程序可能包含一个带有空格的列名，从而导致误报安全警报（空格字符不是字母数字字符）。

我对此进行测试的想法是 1) 在代理模式下手动导航到这些页面中的每一个，2) 告诉 ZAP 开始对该页面上的所有链接进行一到两个级别的爬网，以及 3) 告诉 ZAP 开始对这些 URL 进行模糊测试。

如何实施？我对 ZAP 有了基本的了解，并对]project-open[ 进行了一些安全测试。我已经阅读了用于扫描 URL 列表的 ZAP 扩展，但在我们的例子中，我们希望对这些 URL 中的每一个执行一些特定的 ZAP 操作......

我一直在关注使用 ZAP 对 Damn Vulnerable Web Application 进行基于脚本的身份验证的文档。我已经http://localhost/dvwa/login.php通过Manual Explore导航到它，它在我的 localhost 上打开了DVWA应用程序，如下所示：

并将 URL 添加到Default Context。

我还dvwa使用以下配置创建了脚本：

并修改了dvwa脚本：

现在，当我尝试Configure Context Authentication时，dvwa脚本确实被加载但该CSRF字段没有显示。

此外，POST Data甚至不显示，但Extra POST Data显示。

我在步骤中遗漏了什么吗？有人可以帮我吗？

我正在尝试gosec在golangci-lint。但是，通过 golangci-lint 使用 gosec 时，不会报告 gosec 中报告的一些问题。

我使用了 https://github.com/golang/example项目。运行 goses 时报告了 3 个问题。

但是，当我使用 golangci-lint 运行与 gosec 相同的代码时，没有记录任何问题。

但是当我为另一组代码（示例代码中的另一个目录）运行这两个工具时，所有问题都被记录下来。

有人遇到过这个问题吗？

我目前正计划使用 OWASP ZAP 在 EC2 服务器上进行一些 Web 应用程序漏洞测试。

从我非常快速的谷歌搜索中，我发现 AWS 已经声明允许未经批准的渗透测试服务 ( https://aws.amazon.com/security/penetration-testing/ )。

但是，为了加倍努力，我想知道社区中是否有人毫无问题地做到了这一点。

谢谢！！！

我们使用 sonarqube 社区版，虽然它非常适合静态代码分析，但在安全分析方面我看不到任何重要的东西。它确实标记了安全漏洞，并为 OWASP Top 10 和 SANS Top 25 提供了安全报告。我想知道这是否是某些静态应用程序安全测试的一部分，或者我们需要使用开发人员/企业版本来实现完全成熟的端到端 SAST。请说清楚。

出于好奇，我没有，但应该对物联网设备进行 DAST* 安全测试；我构建的 Nodemcu esp8266 www 服务器。它显示了一个 HTML 页面（例如在手机上），该页面允许控制摄像头模块和 A/C 继电器并与之交互。有了它，我可以例如显示在相机中捕获的图像，我什至认为它内置了一些图像识别功能，并且我可以打开和关闭继电器以将电流流向灯泡（110/220v A/C 电源）

在我开始渗透测试之前，我最好开始考虑可以找到和检测哪些类型的漏洞？如果进行适当的渗透测试，我将能够找到，或者更确切地说应该能够找到哪些险恶的漏洞？（如果我没有发现漏洞，我对物联网的渗透测试可能是错误的）

我认为这可能是一个完全没有意义的练习，因为 esp8266 www 服务器（或者更确切地说它的 LUA 编程库）可能没有内置任何安全性，所以基本上它是“敞开的门”，而且它的一切都是不安全的？

测试报告可能只是得出结论，我可以预见“用户输入需要清理”？

任何人都知道通用物联网设备的这种渗透测试通常会报告什么？也许有可能崩溃或重置物联网设备？缓冲区溢出，XXS，调用自己的代码？

我可能会使用 ZAP 或 Burpsuite 或类似的 DAST 安全测试工具。

• 我当然可以用 SAST 测试它，或者也可以，但我认为很难找到 NodeMCU 库和 NUA 脚本语言的静态代码分析器？不过，我在这里找到了一些参考资料：https ://ieeexplore.ieee.org/abstract/document/8227299 ，但这似乎是一篇很长的文章。

因此，如果有人对 DAST scan/pentest 的期望有一个简短的回答，我们将不胜感激。

在外面保持安全！僵尸男孩

我正在对客户端进行安全扫描，并观察到他们已经实现了 OpenID。在阅读时，我了解到这个 URL .well-known/openid-configuration，它有大量的信息（端点-{授权、连接、用户信息、jwks}、范围等）公开。

我在这里有两个问题：

1. 将这些信息公开是安全问题吗？有没有办法只提供给所需的用户。
2. 我是 OpenID 连接的新手，这是一篇实现自定义 OpenID 服务器的简单而好文章。

我想对我们组织开发的 android 应用程序进行安全测试。为此，我们下载了 Zap 2.10。我按照以下步骤操作，但 Zap 只拦截 Web 浏览器，而不拦截应用程序。

1. 从 Tools->Options->SSL 证书生成 SSL 证书。
2. 在我们的手机中安装了这个证书。
3. 在我们的手机中配置代理设置，设置->Wi Fi->高级选项->选择代理作为手动->输入我们的笔记本电脑 IP 地址和端口为 8081。
4. 在 Zap（笔记本电脑）中，在 Tools->Options->Local proxy 中输入空白地址和端口为 8081。

但是通过这些步骤，浏览器操作被拦截，而不是应用程序。注意到不仅我们的组织应用程序，任何其他应用程序也没有拦截。因此理解应用程序需要进行特殊设置才能像浏览器一样拦截。

因此尝试了以下方法，但不幸的是所有方法都不起作用： https ://www.zaproxy.org/faq/can-zap-be-used-to-test-mobile-apps/

或者

Proxydroid：https ://arpandas.in/how-to-setting-proxy-on-android-phone-tablet/

或者

无人机： https ://king-sabri.net/android-hacking-setup-global-proxy-for-all-apps-in-android-without-root-with-burp-suite/

请帮助我们拦截我们的 android 应用程序。

我想使用一个项目同时进行 API 自动化、负载测试和安全测试。我可以使用什么样的工具或技术来实施该项目？