Agregar autenticación en la herramienta ZAP para atacar una URL

Cómo pasar detalles de autenticación a la herramienta ZAP para escanear el sitio web. Por favor ayudame a resolver el problema.

CSRF, XSS y prevención de ataques de inyección SQL en JSF

Tengo una aplicación web construida en JSF con MySQL como DB. Ya he implementado el código para evitar CSRF en mi aplicación. Ahora, dado que mi marco subyacente es JSF, supongo que no tengo que manejar el ataque XSS ya que @ ya lo ...

Magento CSRF de protección

Estoy buscando formularios personalizados en Magento. Vi estos tutorialeshttp://fastdivision.com/2012/03/29/diy-magento-create-ajax-login-registration-forms-...

¿Por qué es común poner tokens de prevención CSRF en las cookies?

Estoy tratando de entender todo el problema con CSRF y las formas apropiadas para prevenirlo. (Recursos que he leído, entiendo y estoy de acuerdo con:Hoja de...

OWASP ESAPI simpleTest en un proyecto Maven Java EE

Tengo un pequeño proyecto JavaEE, y tengo que asegurarlo con el OWASP ESAPI i integró el ESAPI como este en Maven: <!-- ESAPI Version 2.0.1 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> ...

¿Puede el almacenamiento local ser considerado seguro? [cerrado]

¿Por qué OWASP no recomienda cifrar la contraseña tanto en el cliente como en el servidor?

Desde los problemas recientes con GitHub y Twitter: GitHub grabó accidentalmente algunas contraseñas de texto sin formato en sus registros ...

Pasar variables en la línea de comando a una prueba de pepino

Estoy tratando de mantener los nombres de usuario y las contraseñas para un proyecto de pepino fuera del control de versiones. ¿Hay alguna manera de pasar manualmente las variables en la línea de comando como nombres de usuario y contraseñas a ...

¿Por qué debería poner un token CSRF en un token JWT?

Quiero traer una duda sobre los tokens JWT y CSRF delPoste de tormenta [https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage/] que explican las ventajas y desventajas de almacenar el JWT en localStorage ...

OWASP ZAP informó "alerta (1);" vulnerabilidad XSS, pero no apareció ninguna ventana emergente

OWASP ZAP reportó la vulnerabilidad XSS "alert (1);", pero no pudimos obtener ventanas emergentes en el navegador. ¿Es esto solo un falso positivo? El HTML que rodea el ataque inyectado es: <script ...