1回答
我搜索了Oracle逻辑漏洞并发现了此漏洞: Oracle跨站点脚本和数据漏洞操作( WebLogic http://secunia.com/community/advisories/51501)--我想要一些示例攻击场景来测试我的网站是否存在此漏洞
浏览 0提问于2014-03-06得票数 0
1回答
专业的渗透测试人员通常擅长发现各种漏洞,包括逻辑缺陷,这些漏洞都是针对被测试站点的高度特定的。然而,作为一种手动活动,渗透测试很少执行,因此开发人员希望在内部执行更多的安全QA。这些工具对于一些漏洞(例如跨站点脚本)是很好的,但它们通常根本找不到逻辑或授权缺陷。
那么,我们如何帮助开发人员发现逻辑和授权缺陷呢?
浏览 0提问于2013-10-29得票数 3
回答已采纳
在技术术语中,我应该如何称呼这个漏洞?自类型跨站点脚本拒绝服务攻击蛮力攻击第三方托管的网站上的漏洞,除非它们导致主网站上的漏洞。漏洞取决于物理攻击、社会工程、垃圾邮件、DDOS攻击等。V> *影响过时或未修补的浏览器/操作系统的超级性。
第三方
浏览 0提问于2019-11-11得票数 0
回答已采纳
2回答
我需要执行一段代码,代码如下{}{} else {} if(!condition 1) if(!condition2) variable = true }
浏览 0提问于2016-01-12得票数 3
业务逻辑攻击是否应该是在赋值或漏洞评估项目中的测试方法之一?逻辑攻击是一个手动过程,大多数工具无法检查逻辑。
浏览 0提问于2017-03-17得票数 3
2回答
线索是“在这个代码示例中尝试查找逻辑错误”。我知道DB有可能使用GBK (或其他什么)编码,我们可以使用多字节字符来破坏语句。但在这种情况下是不合适的。
浏览 0提问于2019-05-03得票数 0
我知道这意味着安全漏洞,所以我的问题有点矛盾,但是有什么逻辑的方法可以不暗示软件中存在巨大的安全漏洞?
浏览 3提问于2016-10-19得票数 1
回答已采纳
我的问题是,如果我们在客户端编写业务逻辑,是否会有任何安全漏洞,以及在客户端编写有关firebase的业务逻辑时会有哪些其他问题。
浏览 0提问于2017-11-14得票数 2
1回答
所以,我正在做一些事情,我想知道在我进入服务器端之前,我可以如何和什么样的漏洞添加到客户端上的CSV解析.NET应用程序中。因此,基本上,在代码的解析逻辑中需要有一个漏洞,可以通过在dotpeek中打开它来利用该漏洞。所以我想知道如何做到这一点。因此,正如上面提到的,我需要一些关于漏洞的想法。
浏览 7提问于2022-11-10得票数 0
(上面只是一个例子,说明了逻辑有多复杂。)
目前,我拥有的代码嵌套太多,因此可读性较差,难以维护。这还可能导致逻辑中的错误和意外漏洞,恶意用户可能会利用这些漏洞。
浏览 3提问于2017-08-15得票数 0
就我的理解而言,我想知道,既然NodeJS是基于JavaScript,那么最终用户是否有可能以一种导致安全漏洞的方式对代码进行黑客攻击。我的意思是,既然NodeJS是JavaScript,而JavaScript通常在浏览器上运行,那么访问应用程序的最终用户是否有可能查看应用程序的业务逻辑?尤其是,JavaScript在基于浏览器的编码中是否有任何已知的安全漏洞或预防措施扩展到服务器端编程?或者在其他服务器端语言中没有发现NodeJS特有的其他特定漏洞吗?
浏览 4提问于2014-04-02得票数 1
回答已采纳
最近修补和披露的Windows10OS家庭Crypt.dll漏洞CVE-2020-0601,绰号为ChainOfFools和/或Curveball?这个漏洞背后的逻辑是什么,它是如何在技术上破坏椭圆曲线密码学的,它可以做些什么呢?
浏览 0提问于2020-01-17得票数 9
1回答
API网关中的汉德尔自定义头?
、、、、
我使用API网关为调用lambda函数的应用程序构建业务逻辑。为了安全保证,我从我的网络安全专家那里生成了API基本URL的增值税报告。共检测到9个漏洞,包括4个中等、3个低级漏洞和2个信息级别漏洞。响应报头Field(s)Timestamp泄密- UnixX-Content-Type-Options报头MissingCharset MismatchRe-examine缓存指令泄漏信息,如何消除这些漏洞
浏览 2提问于2022-06-24得票数 0
回答已采纳
4回答
软件漏洞的名称是什么?
、、、
在web应用程序中,存在SQLi或XSS等漏洞,还有更多漏洞。我听说黑客要黑一台电脑,他们必须在一个在开放端口上运行的软件中找到一个漏洞。软件漏洞的名称是什么,就像web应用程序有SQLi或XSS一样?什么是计算机软件的等价物,或者我可以在哪里了解它?
浏览 0提问于2020-05-04得票数 1
回答已采纳
1回答
是否有人建议如何从ZAP报告中确定哪一警报属于OWASP的前10大漏洞。例如,我看到了一个ZAP报告示例,其中Reference列的值为OWASP top 10 URL。我的ZAP报告中有以下几栏:以下是OWASP十大漏洞:
BrokenAuthenticationSensitive站点脚本(XSS)Insecure DeserializationUsing组件与已知的vulnerabilitiesInsufficient日志记录和
浏览 3提问于2020-11-21得票数 0
2回答
目前我使用这个策略: // calculation, insertion/updating old values in database etc.我知道所有这些逻辑都是错误的我欢迎发现我的策略中的漏洞和严重的安全漏洞。这个问题也可以帮助其他人,如果答案更具解释性,这可以是信息丰富的社区维基。
浏览 0提问于2012-05-22得票数 2
回答已采纳
它工作得很好,但我现在想实现一些逻辑,如果发现的漏洞低于给定的阈值,则允许管道在此步骤中继续运行,而不会失败。例如,如果发现了一些中等严重程度的漏洞,但没有发现其他漏洞,则允许这样做,并且不要使管道失败。但是,如果发现了一些中等严重程度的漏洞,并且还发现了一些高度严重的漏洞,则由于这些高度严重的漏洞而导致管道失败。
我使用的是共享的Gitlab runners,所以我通过在线UI来观察所有的东西。我已经检查了我正在使用的命令的退出代码(snyk test),但我所看到的
浏览 0提问于2019-06-27得票数 0
3回答
</string><string name="whatsnew">Hello Stackoverflow Collegues</string><string name="whatsnew"> </string>
如果包含text.But,则如果更新后的文本长度与以前的字符串长度相同,则此逻辑有一个循环漏洞。请帮我找到一个更好更有效的逻
浏览 0提问于2012-01-11得票数 0
回答已采纳
1回答
我正在使用CVSS为我的项目做漏洞评估。相邻(A)易受攻击的组件绑定到网络堆栈,但攻击在协议级别被限制为逻辑上相邻的拓扑。这意味着必须从相同的共享物理(例如蓝牙或IEEE 802.11)或逻辑(例如本地IP子网)网络发起攻击,或者从安全或其他限制的管理域(例如MPLS、安全VPN到管理网络区域)发起攻击。或者:攻击者通过本地访问目标系统(例如键盘、控制台)或远程访问目标系统(例如SSH)来攻击该漏洞;或者攻击者依赖另一个人的用户交互来执行利用该漏洞所
浏览 0提问于2020-09-01得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
