我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
我正在尝试检查GeoServer中的GeoServer漏洞,在将旧的log4j包更新到解决该问题的新包之前和之后。为此,我使用Zap工具检查漏洞,在那里我发现了活动扫描规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)漏洞。请查看此链接以获得更多信息。而且,对于如何执行这个活动扫描规则alpha,我也不太困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查log4j GeoServer漏洞的正确方法?或者还有其他的
浏览 28提问于2021-12-15得票数 -1
我正在使用Ossim,我用OpenVas扫描了一个漏洞。我收到反馈说我们的一些软件在扫描后坏了。我们将检查日志以确定扫描是否导致了这种情况,但我想知道: OpenVas是一个活动的扫描器吗?
浏览 0提问于2016-04-07得票数 3
回答已采纳
2回答
在3月14日的广播中,在大约31分钟时,他们提到了端口5904/TCP上扫描活动的增加。研究人员提到,他们不知道正在扫描的是什么。
有人知道攻击者(或良性用户)有哪些漏洞(或使用)吗?可能在找?
浏览 0提问于2013-03-21得票数 1
可能重复: 最好的免费漏洞扫描器检查您的网站PHP &MySQL代码?
我正在寻找一个免费的漏洞扫描器来检查我的网站是否有常见的漏洞等等。有人能列出最好的免费漏洞扫描器吗?
浏览 0提问于2010-12-18得票数 0
2回答
我需要测试漏洞扫描器,如Nessus、Nmap等。我的老师告诉我,有一些已经准备好的网站(这些扫描器需要目标的IP地址来扫描)具有已知的漏洞,可以使用这些扫描器直接扫描,而无需在我的机器上安装本地设备。但我找不到合适的解决办法。你有什么建议吗?最好是我可以直接扫描的任何带有漏洞的IP地址。非常感谢各位。
浏览 0提问于2020-05-11得票数 0
回答已采纳
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。
浏览 0提问于2016-01-07得票数 -2
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?测试报告可能只是总结了我可以预见的“用户输入需要净化”吗?
有谁知道普通的IoT设备一般会报告什么呢?也许有可能使IoT设备崩溃或重置?缓冲区溢出,XXS,调用自己的代码?我当然可以代替SAST测试它,但我认为很难为NodeMCU库和NUA脚本语言找到静态代码分析器吗?不过,我在这里找到了一些参考资料:,但似乎读起来很长。因此,如果有人有一个简短的答案,
浏览 9提问于2021-04-07得票数 0
回答已采纳
2回答
如何从漏洞扫描或供应商发布的漏洞中手动验证漏洞?
假设你收到了一份高漏洞的报告。漏洞扫描器使用标头的版本检查。如果没有针对此漏洞的公开攻击,如果无法在内部访问服务器,如何检查它?一个例子是CVE-2019-13917,我似乎找不到一个公共漏洞扔到服务器上来验证漏洞,我的最后一个资源是将它发送给负责的it团队。这是正确的方法吗?-如果没有公开的利用,唯一的办法是通过反向工程从供应商那里获得补丁来创造你
浏览 0提问于2021-05-27得票数 1
我有一个Azure SQL托管实例,它具有活动漏洞扫描评估例程。而且每次它给我的是VA2129 -对签名模块的更改应该是授权的。我已经做了很多次了,但是这个已经反复出现了。对于我的托管实例,是否有任何方法禁用任何像VA2129这样的漏洞评估规则,以避免多次基线化?
浏览 9提问于2022-05-02得票数 0
回答已采纳
你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
1回答
您将使用什么评估标准来选择正确的Oracle扫描工具?部署自动化扫描工具(nessus / SQuirreL等),供开发团队和安全团队使用。这两个小组在构建阶段使用的一个工具是持续管理(修补、更改DB结构)和与保证有关的活动(如内部审计或安全审查)。限制密码破解的能力。因此,现在冒着提供我自己的答案的风险(仍然渴望对此有更多的想法!)我想出了以下几点:这将有助于Dev团队确保构建满足所需的级别。进行漏洞<em
浏览 0提问于2011-05-31得票数 7
1回答
如果销售点读卡器停止工作,卡处理供应商需要备份卡输入方法。处理器的建议方法是,应用程序将一个托管到供应商自己的站点,在该站点中在结帐时输入信用卡信息,并监视URL更改以知道事务何时完成并接收验证令牌。
可以肯定的是,一个独立的web浏览器可能有一些相同的问题,但至少它不是应用程序代码库的责任。我不希望PCI审计仅仅因为
浏览 3提问于2016-11-17得票数 0
回答已采纳
我正在使用JFrog X射线扫描我的项目中的安全问题。有一个漏洞问题CVE-2016-1000027需要解决。但是我希望JFrog在X射线扫描时忽略这个漏洞问题。有谁知道怎么帮我无视它吗?谢谢。
浏览 18提问于2022-07-11得票数 0
我的公司要求所有生产站点都要通过AppScan安全扫描。有时,当我们扫描SharePoint安装时,软件会检测到盲目的SQL注入漏洞。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他活动解释为盲注入的成功。但很难证明这是真的。有没有人知道微软是否有这方面的文档,以及是否有任何存储过程使用动态生成的SQL?如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入漏洞。
浏览 0提问于2008-11-21得票数 7
我一直在阅读有关漏洞的文章,这些漏洞允许用户通过WhatsApp或其他服务发送WhatsApp、PDF或其他文件类型,这些服务可以自行执行来安装恶意软件,而无需任何用户单击或干预。我知道这些安全漏洞中有一些是WhatsApp最近修补的,但可能还有其他漏洞。还有其他的手机或WhatsApp设置吗?还有其他
浏览 0提问于2020-01-22得票数 0
1回答
我有一种情况:当我从一台服务器创建一个文件时,其他三台服务器中没有一台能看到该文件。既不刷新也不重扫描磁盘。“在G卷的文件系统结构中发现了一个漏洞:。腐败的确切性质尚不清楚。文件系统结构需要在线扫描。”
有人能帮我解决这个问题吗?
浏览 0提问于2015-09-02得票数 -1
回答已采纳
1回答
我想在Azure SQL server和数据库级别上以语法的方式打开“漏洞评估扫描”。应该再发生一次。
我正在处理的项目有许多调用Az模块的power shell脚本。您知道我应该调用哪些Az模块来将“漏洞评估扫描”设置为重新发生吗?
浏览 17提问于2022-05-19得票数 0
回答已采纳
我们知道漏洞扫描器有三种类型:基于主机的、网络的和数据库的.如何理解客户机-服务器结构?客户端是代理,服务器是主机的操作系统吗?
浏览 0提问于2020-04-02得票数 -1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
