Questions sur owasp

5
réponses

Qu'est-ce que "X-Content-Type-Options=nosniff"?

je fais quelques tests de pénétration sur mon hébergeur local avec OWASP ZAP, et il n'arrête pas de rapporter ce messa ... Type" /> mais je reçois toujours l'alerte. Quelle est la bonne façon de paramétrer le paramètre?
demandé sur 2013-08-20 18:27:49
3
réponses

Pourquoi est-il commun de mettre des jetons de prévention CSRF dans les cookies?

j'essaie de comprendre toute la question avec la CSRF et les moyens appropriés pour la prévenir. (Ressources que j'ai ... gé avec http seulement. Donc envoyer le jeton CSRF en aval dans un en-tête Set-Cookie me semble plutôt sous-optimal.
demandé sur 2013-12-11 00:45:31
8
réponses

PHP $ SERVER ['HTTP HOST'] vs. $ SERVER ['SERVER NAME'], est-ce que je comprends les pages de manuel correctement?

j'ai fait beaucoup de recherche et j'ai aussi lu le PHP $_SERVER docs . Ai-je le droit d'utiliser pour mes scripts PH ... se soucier des attaques XSS, même lorsqu'il est utilisé dans les formulaires. corrigez-moi si je me trompe.
demandé sur 2009-09-22 16:16:47
2
réponses

CSRF, XSS et SQL Injection attack prevention in JSF

j'ai une application web construite sur JSF avec MySQL comme DB. J'ai déjà mis en œuvre le code pour empêcher CSRF dan ... site OWASP et leurs cheat sheets . dois-je prendre soin d'autres vecteurs d'attaque potentiels?
demandé sur 2011-10-11 10:30:15
3
réponses

CSRF (Cross-site request forgery) attaque et de prévention en PHP

j'ai un site Web où les gens peuvent voter comme ceci: http://mysite.com/vote/25 ceci placera un vote s ... peut quelqu'un peut peut-être me donner un autre exemple de cela, parce que le site Web semble assez fugue pour moi.
demandé sur 2010-03-26 23:29:19
2
réponses

Méthode fiable pour détecter le navigateur, la version et plattfom en php

j'ai cherché un moyen fiable d'avoir (au moins les moins obscurs) : le nom du navigateur la versio ... PHP mobile detect avant d'inclure tout OWASP PhpSec classe en utilisant le bibliothèque http
demandé sur 2012-12-08 21:54:47
2
réponses

Pourquoi devrais-je mettre un jeton CSRF dans un JWT?

je veux apporter un doute sur les tokens JWT et CSRF du Stormpath post qui expliquent les avantages et les inconvéni ... navigateur n'ajoute pas automatiquement l'en-tête à votre demande, il n'est pas vulnérable à une attaque CSRF
demandé sur 2016-01-26 15:23:10
1
réponses

En-tête X-Frame-Options sur la réponse d'erreur

j'ai trouvé un intéressant rapport de bug lié à l'en-tête X-Frame-Options. Mais je ne comprends pas comment cela peu ... re utilisé pour clickjacking? Pourquoi est-il important pour la réponse d'erreur que cet en-tête soit aussi défini?
demandé sur 2015-02-14 15:48:25