我有一个关于安排漏洞扫描和评估工作的问题。是否应该在系统/应用程序设计或配置发生更改时启动此练习?由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估<
浏览 0提问于2013-01-23得票数 1
回答已采纳
我们有一个asp.net应用程序,允许用户上传文件,文件被保存到临时磁盘位置,稍后附加到记录并保存在数据库中。稍后,当需要该文件时,我们将该文件流式传输回用户。如下所示:稍后,当同一个用户创建一条记录时,我们从磁盘中抓取该文件并将其存储在数据库</e
浏览 1提问于2009-11-12得票数 1
回答已采纳
我在一个web应用程序上做一些扫描,我使用了OWASP和Nessus。这两种检测到的风险都是中到低的,很少有漏洞。
然后我尝试了nikto,结果是巨大的。它通过数据库和其他“重大安全问题”检测到潜在的风险--我只是想知道,因为我知道这些扫描仪检测到了潜在的风险,您可以尝试利用它们--这并不是100%的精确性,但是在执行笔测试时,这三种方法中哪一种是最好的起点
浏览 0提问于2018-05-03得票数 2
1回答
让我们假设安全扫描显示某个linux系统库中存在高漏洞的场景。换句话说,pipdeptree,但返回系统库。作为减轻风险的一种形式,我们将暂时卸载受影响的python包,以摆脱易受攻击的系统库。我们可以确保系统库对于底层操作系统的正确操作并不是必需的,因为该漏洞不存在于只包含操作系统的基本映像中。我们不能继续安装易受攻击的库,而只能禁用/
浏览 2提问于2020-12-12得票数 1
1回答
脆弱性管理101
、、
据我所知,漏洞管理过程可以分为四个步骤(不提它与补丁、更改、风险管理的密切关系):评估脆弱性报告脆弱性虽然扫描仪提供了自己的风险评级和分数,比如CVSS,我想这些在某种程度上有助于告诉组织哪些秃鹫需要立即注意,但它们真的反映了真正的风险吗?我的意思是,漏洞可能取决于上述分数以外的其他一些因素,漏洞扫描器没有智能来判断发现的结果是真是假(在一定程度上,例如与支持的补丁有关的问题),是否
浏览 0提问于2021-03-01得票数 2
回答已采纳
3回答
我们强迫磁盘重新联机,但文件系统一团糟。不,没有备份这些数据。编辑:相信我,我同意你们每个'raid 0--没有备份疯狂‘的评论,但是上下文要比这复杂得多,这是一个可以接受的风险,多一个星期就不会发生,但这就是风险分析、接受风险和墨菲的本质。
浏览 0提问于2010-08-18得票数 1
回答已采纳
1回答
我下载了一些文件从网站使用FTP和这些网站已经开发使用.net和任何.dll文件被我们的防病毒标记为风险。📷在不删除这些文件的情况下,我如何才能解决这个问题。所采取的不排除/撤消操作没有任何区别。以下是扫描版本的详细信息https://www.virustotal.com&#
浏览 0提问于2017-05-15得票数 0
回答已采纳
1回答
如何避免NoSQL盲(睡眠)注入
、、、、
在扫描我的应用程序中是否存在漏洞时,我发现了一个高风险错误:我需要帮助来修复这个漏洞。有人能帮我吗?我只是想了解在连接到数据库之前,我需要在代码中添加什么来执行这个检查?
谢谢你,安舒
浏览 6提问于2020-01-17得票数 1
回答已采纳
2回答
我在一个应用程序上工作,在代码发布到生产之前,Burp工具会对其进行扫描。最近的扫描导致了操作系统注入攻击漏洞。
在做研究时,我看到的唯一的OS注入攻击的例子是unix,java,php应用程序。如果是这样,您如何减轻这种风险?ASP.NET (和/或MVC)本身能防止OS注入攻击吗?
浏览 5提问于2017-01-31得票数 1
1回答
OWASPZAP执行的扫描类型
、、、、
我已经开始使用OWASPZAP (手动扫描),到目前为止,学习和同时执行一直是令人兴奋的。我对我们的应用程序进行了被动扫描,发现了3个警报,并解释了描述/ OtherInfo /解决方案/引用如下:
X-Content-Type-Options Hea
浏览 0提问于2018-09-24得票数 0
回答已采纳
在使用文件上传功能的同时,安全扫描显示出很高的风险。this.performcalc(data); reader.readAsBinaryString(e.target.files);当上面的代码扫描时,它显示出很高的风险。在两者之间做了验证和消毒,但仍显示出很高的风险。
是否有更好的解决方案来避免安全风险。
浏览 4提问于2022-05-31得票数 0
1回答
利用扫描打开端口后的“侦听”服务中已知的/零天漏洞是唯一的方法,或者至少是最常见的危及系统的方法吗?
当然,我们谈论的不是完全不同的东西,比如DDOS,恶意软件等等。只是想知道开放端口和运行服务器服务是否还有其他安全风险。
浏览 0提问于2015-08-07得票数 1
1回答
我希望能够调用病毒检查作为构建过程的最后阶段(请不要开发机器将获得病毒,这只是一个腰带和支架的方法,以避免被客户起诉的风险…)。另外,我希望在机器上安装AV,但关闭自动文件系统保护(至少对构建目录是这样)。
我想要的是使用任何AV系统扫描文件的通用方式。我假设有一个Windows API可以做到这一点,因为Windows会检测到反病毒系统的存在,而Firefox等浏览器会在下载文件时调用病毒扫描。那么他们使用的API是什么呢?(如果可以从那里检测到AV提供程序,那么如何调用它来扫
浏览 0提问于2010-05-19得票数 1
回答已采纳
我最近在我的本地办公室网络上建立了OpenVAS。我已经运行了几个任务,但我很好奇我到底应该运行哪些任务,以及在什么时间框架内运行?我目前正在浏览网络基本要素,本质上只需要知道我有哪些漏洞,以及我的网络上有哪些资产。但我还是不确定我是否应该做更多的事情,除了这两个。
任何帮助都是很好的
浏览 0提问于2017-05-22得票数 2
1回答
在过去的几周里,我正在开发一个简单的病毒扫描程序。它工作得很好,但我的问题是,谁知道我在哪里可以得到一个数据库(单个文件),其中包含8000或更多的病毒签名和他们的名字,以及可能的风险度量(高,低,未知)?
浏览 0提问于2011-02-11得票数 2
回答已采纳
2回答
在关系数据库管理系统中,关于表分区的好处已经有了很多讨论。表分区是否存在任何风险?
应采取哪些措施来尽量减少这种风险?
浏览 0提问于2014-02-24得票数 -1
1回答
经过一次安全扫描后,团队返回了我们的产品上的这个风险,它作为App部署在GCP上,基本上是我们产品的前端。Description:-远程主机受序列号近似漏洞的影响,该漏洞允许攻击者向远程主机发送伪造的RST数据包并关闭已建立的连接。我们如何解决这一问题,并从我们的产品中消除这一风险?
浏览 8提问于2021-06-11得票数 0
我的问题是,这怎么可能代表一个安全风险?也就是说,为什么系统管理员不会将GPO配置到任何地方?
这不有害吗?我不是专家,但我认为恶意用户可以将其用作扫描网络的内存占用工具,对吗?
浏览 0提问于2017-05-10得票数 0
回答已采纳
我没有看到任何东西在运行,过了一会儿,我重新启动了系统。谢谢这确实是一种针对windows的新恶意软件。是否存在这样的风险: Mono执行其恶意命令的方式是“删除c:\*.*”在linux中变成"rm /* -rf“?即使我不是root用户,许多用户文件也会面临风险。
浏览 0提问于2015-07-14得票数 1
1回答
Header在这种情况下,应如何界定风险或严重性如果它是基于风险是否适用于特定的web应用程序。
另外,对于某些警报,在ZAP报告中,将填充Risk,例如是低的还是中等的。
浏览 1提问于2020-11-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
