我必须在一个组织中管理200+客户端机器(主要是Windows88.1和10)。安装了许多应用程序: web浏览器、Java、Flash &更多。是否有任何工具/技术来检查哪些机器有过时的软件,例如易受攻击的Java,并定期获得需要更新的机器的报告?
浏览 0提问于2017-03-26得票数 1
我在AWS上运行了一个spring boot应用程序。我不时看到一个日志,上面写着并提到了ThinkPHP? java.lang.IllegalArgumentException: Invalid character found in the request target [/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21].
The valid characters are defined
浏览 67提问于2020-11-08得票数 5
回答已采纳
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。
有一个OpenVAS尝试的url,即/news/?group_id=&limit=50&offset=50;select+1+as+id,unix_pw+as+forum_id,+user_name||unix_pw+as+summary+from+users
我有一个简单的NewsPost模型,我已经创建了一个路径,将响应上述网址在我的网络应用程序。
执行的SQL是:SELECT * FROM news_posts WHERE group_id=&limit=50&offset
浏览 0提问于2019-11-21得票数 1
我计划使用ReST来开发Java。我想使用云上的应用程序安全性来扫描应用程序以消除安全性问题。
我能用一下吗?有什么更合适的吗?
浏览 5提问于2016-02-18得票数 0
回答已采纳
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在,但我想我会问。开源会更好。
浏览 0提问于2016-01-07得票数 -2
我遇到了一个问题,在用过时的npm包引入的几百个存储库中,我有太多的漏洞。问题是,我需要找到一种优先排序的方法。对我来说,最大的痛苦是工程团队想要证明漏洞的利用,所以他们修补了这个包。
是否有任何工具可以用来检查一个易受攻击的包是否真的对应用程序构成威胁?我知道Snyk是可触及的,但它只用于Java项目,我需要一些nodejs。
浏览 0提问于2022-04-28得票数 1
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?
我被告知情况并非如此,但我知道的是:
Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。
Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
1回答
我的VM扫描器已通过经过身份验证的扫描检测到以下漏洞,请参阅下面。
这是一个由BIGSQL (Dev & Ops )提供的web应用程序。使用此应用程序安全吗?还是可以在没有凭据的情况下利用这些漏洞?如果有人设法获得未经授权的访问web应用程序,那么我可以想象,这些漏洞将是我最不关心的。
📷
浏览 0提问于2017-11-01得票数 0
回答已采纳
与手动查找漏洞相比,像w3af这样的工具在查找web应用程序漏洞方面有多有效?他们是否能够从OWASP前10名中找到所有漏洞,如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传?还是会有一些漏洞从裂缝中掉下来,而仍未被发现?
浏览 0提问于2014-11-27得票数 3
我创建了一个Java应用程序,并希望在Java应用程序中使用条形码扫描器。
但是没有设备条形码扫描仪
如何模拟条形码扫描器来测试Java应用程序?
浏览 0提问于2012-12-19得票数 2
回答已采纳
2回答
穿透测试Java应用程序
、、、
第一件事,这是我从未做过的事。
我有一个用Java (JSP和Servlet)编写的web应用程序,并使用MySQL作为数据库。应用程序部署在Amazon EC2中,这是一个由我自己配置的Ubuntu实例。
现在,我有一个非常关键的“必须”执行要求来查看这个应用程序的安全漏洞。我被要求对此进行渗透测试。
我有以下问题。
在执行此测试时,是否必须在我的实时应用程序或运行在本地计算机(localhost)中的应用程序中执行?
我发现了一堆只接受URL并进行测试的在线工具。这些工具是推荐的和专业的?
用于Java应用程序渗透测试的推荐工具是什么?它们是“软件”还是某种"API“,我必须花很多
浏览 0提问于2015-10-09得票数 5
回答已采纳
如果我想测试一个web应用程序。
对于哪些类型的漏洞不能扫描应用程序扫描仪,哪里不能应用程序扫描器扫描(例如。在什么财产上)它的“力量”最多?
像Vega,Nikto,Burp这样的扫描仪。
浏览 0提问于2020-03-03得票数 1
我有一个关于安排漏洞扫描和评估工作的问题。
我正在制定漏洞扫描的时间表。我想知道什么时候,为什么要开始扫描,首先-什么条件应该需要这个要求。
是否应该在系统/应用程序设计或配置发生更改时启动此练习?
如果我采用这种方法,我就不得不质疑变化的正确性。这一改变是否得到批准,是否遵循了实施/引入变革的指导方针或最佳方式。
由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。
当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风险/测试漏洞,我不需要扫描。
那么,漏洞扫描是否应该由变化或
浏览 0提问于2013-01-23得票数 1
回答已采纳
2回答
我们使用Snyk作为开源依赖扫描程序。我们目前在每个拉请求上扫描易受攻击的库,这会给我们的开发人员带来开销。什么是好的开源漏洞扫描频率?它应该是每周,双周,每月还是连续?
我试图向我的团队推荐AppSec流程,并希望了解行业实践。如果有一个最佳实践指南,这也会有所帮助。
浏览 0提问于2021-02-08得票数 1
可能重复: 检查常见漏洞的工具?
是否有任何应用程序可以对我的网站进行随机查询,并试图在其中发现漏洞?我特别关心的是sql注入?
浏览 0提问于2011-10-30得票数 0
我开发了一个web应用程序,主要是在PHP和JavaScript中使用一些AJAX。
我并没有这种体验,但我喜欢尝试一些工具,比如sqlmap,看看我的代码中是否有任何缺陷。
或者,如果您知道一些代码,我可以尝试各种形式,这也可能是有帮助的!
浏览 0提问于2015-12-24得票数 -4
回答已采纳
我有一个专用的服务器窗口服务器2016、IIS、Sql server 2018企业版和MS SQL server数据库。我使用这个服务器来托管我的dotnet核心应用程序,我通过远程桌面管理这个服务器。托管网站在服务器上安装了SSl证书。我想知道我应该应用的最佳实践是什么,以确保我的服务器以及我的托管web应用程序及其连接的SQL数据库的完全安全。此外,我还想知道是否有可信的工具可以测量我的服务器、web应用程序和SQL数据库的安全级别。
提前感谢
浏览 0提问于2020-02-04得票数 1
2回答
我喜欢做SQL注入安全性测试。所以我安装了内斯派克 (社区版本1.7)。如果有人使用这个应用程序来测试web应用程序的SQL注入,那么请告诉我启动它的基本步骤。
浏览 0提问于2012-06-21得票数 5
1回答
我有一个简单的测试目的gradle项目,我想使用gradle dependencies命令扫描它的依赖项。在这样做之前,我想确保项目的依赖项确实在gradle的缓存(.gradle/caches/modules-2/files-2/1)中找到。为此,我在扫描之前运行gradle assemble命令来下载缺少的依赖项。
我发现,只有当项目中有一个包含Java文件的src/main/java文件夹时,它才能工作(即使这个Java文件是完全空的)。
这是一种有效的解决方法吗?有没有更好的解决方案来确保在扫描之前在缓存文件夹中找到依赖关系?
浏览 1提问于2018-03-05得票数 0
我在工作中有点困惑。我和一些工程师认为,我希望将我们服务器上的tomcat目录从/usr/java/apache-tomcat-5.5.33重命名为/usr/java/apache-tomcat,这一点我都不会介意的。
我希望这样做是为了让下一次当客户喊“漏洞!”时,我们被迫升级服务器时,生活变得更容易。
因此,如果我希望使tomcat服务器路径成为通用路径,Nessus一点也不会关心。该产品(Nessus)将能够很好地嗅到产品的版本。
对吗?
谢谢你的帮助。
-dklotz
-编辑-这是客户向我们报告的扫描结果。
Apache Tomcat 5.5.x < 5.5.34 Multipl
浏览 0提问于2012-03-27得票数 0
回答已采纳
表示它不受当前log4j / 安全问题的影响。但是,我还不清楚是否会有任何带有log4j依赖的r包。我最感兴趣的是tidyverse包和其他广泛使用的包,比如xlsx包。
讨论了如何检测已安装的r包是否具有Java依赖关系。
浏览 3提问于2021-12-15得票数 1
回答已采纳
1回答
我正在配置一个Debian (拉伸) for服务器,以运行socks请求的停靠容器。因此,应用程序将能够使用在容器内运行的Dante服务器进行身份验证(在端口1080上),并与web通信。我担心潜在的漏洞,尽管我更新了iptables并将conf设置为只接受来自bridge驱动程序的CIDR 172.27.0.0/16的流量。我能找到的唯一公开的信息是使用nmap:
sudo nmap -PN -p 1080 -sV 172.27.0.2
这张打印出来:
Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-06 12:22 EET
Nmap s
浏览 0提问于2021-02-06得票数 2
回答已采纳
如今,云扫描仪变得越来越普遍。价格比前提扫描器便宜得多。我对云扫描仪的关注是,它们在第三方网络上存储敏感信息。(我不确定敏感信息是否只包括扫描结果)。除了扫描结果外,还有其他信息可以存储吗?我知道,当我参加网络法和合规课程时,我记得其中一些课程(HIPPA、SOX、PCI)要求将个人信息传输到另一个网站。在使用Cloud应用程序扫描仪时,无论是SAST还是DAST,我是否应该关注这个问题?你对云扫描仪和前提扫描仪有什么经验和想法?
浏览 0提问于2014-09-04得票数 0
回答已采纳
2回答
媒体和一些有安全意识的邮件列表报道说,一些支持IPMI的服务器、实现和品牌面临严重的安全问题。
当您转到专用服务器提供程序租用具有IPMI的预先配置的非托管服务器(无论是否启用它供您使用)时,从安全性的角度来看,需要寻找的东西是什么?
浏览 0提问于2013-12-01得票数 1
1回答
如果销售点读卡器停止工作,卡处理供应商需要备份卡输入方法。处理器的建议方法是,应用程序将一个托管到供应商自己的站点,在该站点中在结帐时输入信用卡信息,并监视URL更改以知道事务何时完成并接收验证令牌。
我觉得这是一个潜在的PCI雷区:
按键进入的进程与销售点应用程序的其余部分相同,WebBrowser还提供进程内DOM挂钩。
我不知道这对HTTPS证书验证意味着什么,如果MitM来自另一台机器
也许还有一些我不知道的事情也同样重要。(不推荐的协议和算法?)
可以肯定的是,一个独立的web浏览器可能有一些相同的问题,但至少它不是应用程序代码库的责任。我不希望PCI审计仅仅因为
浏览 3提问于2016-11-17得票数 0
回答已采纳
6回答
我听说有一些免费的应用程序可以检查PHP网站的漏洞,但我不知道该用什么。我想要一个Windows的免费程序(最好有一个GUI),它将分析我的网站,并给我一个报告。
有人知道解决方案吗?
浏览 2提问于2008-12-04得票数 37
回答已采纳
3回答
我正在开发一个web应用程序。我曾经用过Joomla这样的东西来做一些很棒的东西,但现在我终于用上了PHP、MySQL和CodeIgniter。
当你制作一个严肃的web应用程序来处理大量数据时,我应该对我的数据输入采取什么预防措施来完全清理它?我知道有明显的修剪,转义,xss清理等-但是我应该结合哪些其他技术来阻止注入到数据库中?
不仅如此,有没有什么非破坏性的数据库注入代码可以用来测试我的所有输入?也就是说,它将注入一些可见的东西,但实际上不会对我的测试数据库造成任何损害?我不是一个完全的黑客,在这方面需要一点指导。
黑客还使用什么其他常见的方法来销毁或读取用户数据,我如何自己检查?我没有
浏览 0提问于2010-02-28得票数 25
回答已采纳
题目在题目里。我似乎找不到一个直截了当的答案,泰伯似乎在他们的网站上回避一个“是/否”的答案。几年前,有人告诉我,Qualys是由PCI批准的PCI遵从性,而Nessus当时没有。这一切都变了吗?
浏览 0提问于2016-08-11得票数 0
回答已采纳
我已经有一段时间没有做Elasticsearch + Kibana项目了,但是当我现在使用elasticsearch-head前端时,我注意到添加了多个索引(如下图所示)
如果我向右滚动,我会看到与Logstash相关的文件,比如logstash-2015.06.26。因此,除了这些元素出现之外,一切似乎都是正常的(它们也是众多的)。
当然,我一定是做错了什么事情才会发生这种情况,似乎Logstash正在解析一个不想要的目录的所有文件。我在我的input或filter文件中找不到任何不寻常的地方。
对如何解决这个问题有什么想法吗?
谢谢。
浏览 4提问于2015-10-22得票数 0
回答已采纳
3回答
我们公司将在PCI DSS 3.1下进行SAQ。
我们是否需要付钱给供应商来做现场扫描,或者我们是否可以使用像Nessus这样的东西来自己做扫描?
浏览 0提问于2015-06-16得票数 1
回答已采纳
1回答
我正在寻找一个解决方案,以实现在构建时应用程序代码库的安全扫描。其想法是在软件开发生命周期的早期捕获安全漏洞列表。
我有一个简单的java项目,它使用maven构建。java项目指定了许多.jar依赖项,并提供了一个.war文件作为构建输出。
我偶然发现(并能够配置) dependency-check maven插件()。然而,尽管它扫描依赖jars并提出了一个漏洞报告,但它似乎没有扫描最终的工件--在我的例子中,这就是.war文件。
如何确保.war也被扫描?dependency-check插件是正确的工具吗?
浏览 3提问于2016-06-27得票数 0
回答已采纳
在哪里或者怎样才能找到一个没有补丁的操作系统的安全漏洞列表呢?我想确定我可以告诉服务器所有者在过时的操作系统上的实际风险。我可以得到所有CVEs的列表,但是我无法筛选补丁状态。
浏览 0提问于2016-06-30得票数 3
回答已采纳
我正在做一个关于模糊的研究,我想知道标题中问题的答案。cvedetails使用以下类别来处理漏洞:
Bypass a restriction or similar
Cross Site Scripting
Denial of service
Directory Traversal
Execute arbitrary code on vulnerable system
Gain Privileges
Http Response Splitting
Memory Corruption
Obtain information
Overflow vulnerabili
浏览 0提问于2012-02-18得票数 3
回答已采纳
我有一个带有Ubuntu12.10服务器版本的VPS,我从公共/大学连接到它。我在上面托管了一些web应用程序。我一直关心安全问题。为了有一个安全的VPS,需要检查哪些特性?
浏览 0提问于2013-03-06得票数 2
2回答
我在安全测试方面很新。
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。
一些服务也使用OAUTH。
谢谢
浏览 0提问于2016-06-20得票数 3
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
5回答
我需要一个很好的Ubuntu漏洞审核工具,所以我决定尝试nmap --我还记得有一种产品可以完成这样的工作-- nessus --它在存储库中不再可用,并且Ubuntu站点http://nessus.org/nessus/上的包已经过时了,我认为最新的版本可能会针对特立独行的人,有人有使用Nessus的经验吗?它与nmap相比如何?
浏览 0提问于2010-11-10得票数 9
回答已采纳
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。
不幸的是,我对服务器安全的所有知识都是在ufw启用和fail2ban之后结束的。(因为大多数教程也在它结束后结束。)
你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
3回答
有几个工具可用于渗透测试。其中一些是免费的,比如MSF (社区)作为商业版本。哪一个是最好的渗透测试工具。同样,也推荐一本好书。我正在寻找分布式和web应用程序的笔测试。
浏览 3提问于2011-05-26得票数 2
我为我拥有的单个EC2实例启用了AWSAmazon检查器(2)。这是一个带有php和apache的ubuntu,没有什么特别之处,状态显示了过去3个小时的扫描。
我看看这台机器的htop,我看到/snap//#/amazon agent正在运行,还有几个/snap//#/ssm-agent-worker正在运行。还是..。三个小时过去了,我没有结果。
它起作用了吗?它不起作用吗?还有更详细的状态吗?另外,如果有人有这方面的经验,你能分享你等待结果的平均时间吗?
浏览 24提问于2022-05-06得票数 0
每个防火墙接口IP是否被视为外部IP?
我们需要扫描每个接口IP吗?
什么是内部扫描?内部的要素是什么,我们是如何做到的?
浏览 0提问于2014-10-29得票数 1
回答已采纳
2回答
如何检查安装在操作系统上的修补程序列表,以了解关键的安全插件和所有其他更新。我尝试了"rpm -qa --最后“和"yum安装”,但是没有得到想要的输出。
浏览 0提问于2018-03-14得票数 0
我刚开始玩OpenVAS虚拟设备。
因此,我为ssh添加了凭据,它将用于访问Cisco路由器:
📷
因此,这将允许OpenVAS登录到用户模式,但它将如何访问启用模式?还是我走错路了?我认为OpenVAS需要启用模式访问来执行某些扫描。
浏览 0提问于2015-10-16得票数 1
我正在尝试获得一个符合pci标准的网站。
如果你访问(虚拟ip):http:someipaddress/ZNYTMHXO.ashx
然后,用户可以正确地看到我在web配置中声明的页面中的html:
但是,如果您使用相同的url,但在查询字符串中使用?aspxerrorpath=/ : http:someipaddress/ZNYTMHXO.ashx?aspxerrorpath=/
然后,页面在'/‘应用程序中显示一个服务器错误。运行时错误。
pci扫描失败。
为什么这个变量会导致问题?
抱歉,我应该声明ZNYTMHXO.ashx并不存在。404重定向在查询字符串中不存在asperror
浏览 0提问于2013-04-12得票数 1
回答已采纳
7回答
我需要看看我正在测试的网站是否容易受到这和这等网站上的多个谷歌呆子的攻击。传统上,人们通过搜索Google中的"Index of /“+c99.php”来使用'dork‘,并获得一堆结果。
我如何能够搜索所有的书呆子为我的具体网站迅速和容易?有可能吗?
编辑:为了澄清,我可以访问,并使用一些商业付费应用程序做网页应用程序扫描。然而,我有问题的网站使用WAF和限制我的连接,这大大减慢了事情。因此,我更多的是寻找一个查询谷歌的程序,而不是扫描网站。
浏览 0提问于2013-10-07得票数 14
回答已采纳
1回答
我们希望建立一个CI/CD管道。我们希望在其中包括一些自动化和手工测试,我们也希望在自动化测试的基础上编写一个报告。整个应用程序是基于java微服务的,我们在这里使用Rest。目前我们正在使用
Github
Jira
詹金斯
我们已经在练习Junit测试了。你还建议做什么自动测试和手动测试?请依次提及这些,也请特别提到测试是属于CI部分还是CD部分。如果詹金斯的插件能帮上忙的话,请也提一提。蒂娅。
浏览 3提问于2021-06-19得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
