Docusign API的安全问题
我们在Salesforce中开发了一个应用程序,它使用DocuSign web服务API(https://demo.DocuSign.net/API/3.0/dsapi.asmx用于开发,https://www.DocuSign.net/API/3.0/dsapi.asmx用于生产)。当我们对这两个API进行安全扫描时,几乎没有发现漏洞。我们使用ZAP工具进行安全扫描,发现以下漏洞:
- x-frame-options标头未设置
- 缓存控制和杂注HTTP标头集不完整或没有
- 未启用Web浏览器XSS保护
- x-content-type-options标头丢失
共有1个答案
Zap和所有自动化扫描仪一样,非常擅长发现常见的疏忽,并将应用程序与最佳实践进行比较。不幸的是,他们经常没有考虑到手头更大的场景。为正确的场景设置正确的X-Header是防止客户机-服务器web流中的常见攻击(如单击Jacking和XSS)的重要保护措施,因为它们有助于通知用户浏览器应该允许或不允许哪些操作。然而,这些攻击与服务器到服务器API流无关,因此应将其视为误报。感谢您提请我们注意这些,然而,DocuSign正在持续投资于我们平台的安全,我们感谢您的审查。
-
异步Javascript和XML(AJAX)是用于开发Web应用程序以提供丰富用户体验的最新技术之一。由于它是一项新技术,因此尚未完成许多安全问题,以下是AJAX中的少数安全问题。 攻击面更多,因为需要保护更多输入。 它还公开了应用程序的内部功能。 无法保护身份验证信息和会话。 客户端和服务器端之间存在非常狭窄的界限,因此存在安全性错误的可能性。 示例 以下是AJAX安全性的示例 - 2006年
-
在我前面的问题中:确保javascript游戏计时 ... 很明显,Javascript/Canvas游戏中的客户端计时是不安全的。我知道关于不信任客户的咒语——这就是导致我首先挣扎的原因。:-) 所以,如果我真的把所有的时间都转移到服务器上并处理它,这是一个后续问题。游戏显然需要在提交之前完成。由于游戏谜题都是Javascript,这就引入了操纵客户端代码来伪造游戏完成的问题。 我已经在一个单独
-
Redis是一个弱安全的组件,只有一个简单的明文密码,因此在保护上需要对其他多方面的措施,另外,很多所谓安全问题不是redis本身造成的,而是误用的结果。
-
问题内容: 我刚开始使用Java ScriptEngine对我的应用程序进行少量扩展,然后我注意到可以导入脚本中的所有Java类并不受限制地使用它们。有没有一种方法可以指定脚本可以使用的类?我不希望他们做类似的事情 问题答案: 好了,您似乎需要学习Java SecurityManager。这是一个很大的话题,如果您无法使它适合您,则可能需要阅读它,然后发布一个更具体的问题。
-
我正在用Spring-boot(在http://localhost:8080上)和angular(在http://localhost:80上)构建一个应用程序。 如果我输入了正确的密码,http响应代码(我可以在Chrome控制台中看到)是,但我仍然到达块(带有error.status=-1),并且我可以在控制台中看到以下错误消息: XMLHttpRequest无法加载http://localho
-
本任务将演示如何通过使用Istio认证提供的服务账户,来安全地对服务做访问控制。 当Istio双向TLS认证打开时,服务器就会根据其证书来认证客户端,并从证书获取客户端的服务账户。服务账户在source.user的属性中。请参考Istio auth identity了解Istio中服务账户的格式。 开始之前 根据quick start的说明在开启认证的Kubernetes中安装Istio。注意,应