当使用Acunetix和w3af等工具进行web漏洞评估时,是否值得在多种类型的web服务器(Apache等)上安装相同的web应用程序?
如果在扫描结果中发现不同web服务器之间的差异,那么会发现哪些类型的漏洞?另外,请记住,我只是在测试web应用程序;我没有测试Apache、PHP、MySQL等等。
浏览 0提问于2015-02-08得票数 5
1回答
如果有人在运行在linux机器上的程序(如Google Chrome或Mozilla Firefox )中发现类似缓冲区溢出的漏洞,那么在运行相同程序的Mac OS X或Windows上是否存在此漏洞。
浏览 0提问于2012-01-02得票数 3
回答已采纳
我正在测试电话间隙oauthio插件,但无法让它工作
跟踪医生。
添加了带有命令行的插件并安装了inappbrowser。
还将此添加到我的config.xml中
<gap:plugin name="org.apache.cordova.inappbrowser" />
<gap:plugin name="com.phonegap.plugins.oauthio" />
内嵌浏览器的加载和工作。但奥斯号不是。我到处添加了一些警告(),但是当我添加一个警报来显示OAUTH的内容时,这种情况不会发生。
alert('device re
浏览 3提问于2014-04-15得票数 1
回答已采纳
可能重复: 为什么Ubuntu比Windows或Mac更安全?
我是个新用户。我用XP在更旧的电脑上安装了这个。请有人比较一下Ubuntu和windows操作系统之间的安全问题。换句话说,我在网上使用Ubuntu>更安全吗?
浏览 0提问于2012-08-19得票数 0
我想创建一个用Qt:DotLine笔绘制的旋转圆,使用图形视图框架。使用QGraphicsItemAnimation,我可以旋转其他形状,但不能旋转圆。下面的程序演示了这个问题:不是矩形和圆一起旋转,而是圆在矩形优雅旋转的同时旋转。
#include <QApplication>
#include <QGraphicsView>
#include <QGraphicsItem>
#include <QTimeLine>
#include <QGraphicsItemAnimation>
QRectF rect (int
浏览 2提问于2010-12-12得票数 1
我想知道最初为32位可执行文件编写的病毒是否能成功感染64位可执行文件?
所有32位指令都是有效的64位指令,对吗?所以,只有ABI可能会破坏东西?
32位病毒应该如何调整(如果必要的话)以针对64位可执行文件?
我感兴趣的是Windows或Linux操作系统系列的答案,即编写用于感染PE或ELF二进制文件的病毒。
浏览 0提问于2017-04-15得票数 0
今天(4月14日),自封的"ShadowBrokers“发布了大量的即时使用的0天攻击,部分原因是详细的使用说明。
现在我明白了,对于那些拥有面向互联网的Windows服务器或其他类似设备的公司来说,这真的很糟糕。
但更有趣的问题是:
今天的转储是否会影响那些没有在Windows机器上主动建立面向互联网服务的普通用户?
可能有用的参考资料:
母版文章。
Ars Technica文章
浏览 0提问于2017-04-14得票数 11
我一直在设计一个小型的电子商务平台来销售珠宝。最初,我想让它与web3兼容(接受元掩码支付),并且考虑到我是一个开发人员,我想采用DIY方法,而不是像Shopify这样的平台。
现在我离完成这个网站越来越近了,我思考着自己--我应该转而使用Shopify吗?我的思考源于我所预料到的未知的弱点。
我的网站使用Stripesnd paypal支付。除了订单信息和发货地址外,我不保存任何其他数据。
是否存在Shopify没有考虑到的潜在漏洞?
这似乎很简单,可以在一个网站上付款,但我有一种感觉,我没有考虑一些主要的含义,不使用一个平台,如Shopify。
一方面,我真的很想使用我自己的网站,因为我花
浏览 3提问于2022-10-02得票数 0
我在互联网上看到,有几家网站公司公开了默认的web服务器主页,如Tomcat、NGNIX、Apache web服务器。我一直认为公开默认的web服务器页面并不是最好的做法。但是现在大多数的网络服务器都避免了主页中的任何敏感信息。那么,目前,在互联网上公开默认的web服务器页面有什么问题吗?
浏览 0提问于2018-09-20得票数 0
我们计划升级到RSA身份验证管理器8.0,我想知道在Linux服务器而不是windows 2008服务器上安装它是否有什么好处。我们想用vmware来运行它。在哪里可以找到更多关于8.0版本需求的信息?
我们正在为6.1版本进行升级,所以这将是一个很大的改变,因为它现在运行在一个windows 2003服务器上。
所以现在我们想找出最好的方法。
谢谢您的建议和信息。
浏览 0提问于2013-04-29得票数 0
回答已采纳
由于存在严重的漏洞,现在有很多关于禁用java插件的建议。我知道这个话题已经在这个网站这里和这里上讨论过了。
在我到目前为止所读到的关于漏洞的报告中,它们要么是泛型Java,要么是Oracle Java。我之所以问这个问题,是因为我们公司的许多计算机都在运行OpenJDK + IcedTea插件。
所以,问题是这个:
有人知道来自OpenJDK的java插件是否也受到此漏洞的影响吗?
浏览 0提问于2013-01-13得票数 5
回答已采纳
6回答
测试黑客的企图
、、、
我想确保我的网站被保护免受黑客攻击,我认为最好的测试方式是尝试和黑我自己的网站。黑客会做什么样的事情来攻击我的网站呢?
例如,
Test -他们可以将javascript放在输入字段中,例如
<“open javascript tag">window.location = “www.somewhereelse.com”;<“end javascript tag”>
保护-在显示数据之前使用php实体函数。
为了确保我的网站是安全的,我还能用什么东西来测试呢?
浏览 3提问于2011-06-06得票数 5
回答已采纳
我正在尝试生成says代码来修改这个漏洞:https://www.exploit-db.com/exploits/24947/,它在基本的漏洞中说:
{'$where':'shellcode=unescape("METASPLOIT JS GENERATED SHELLCODE");
我也不太清楚这意味着什么。看看漏洞中的其他外壳代码,它看起来就像utf-8 unicode编码的外壳代码(例如“%u 9090%u 9090”),但是我不知道如何生成它。我尝试使用msfvenom和J来生成javascript外壳代码,但是输出是不同的。也尝试了不同的编码器
浏览 0提问于2018-07-01得票数 7
回答已采纳
1回答
我正在寻找一种方法来按操作系统、应用程序等对CVE产品名称进行分类。是否有任何数据集可用于处理此问题?https://www.cvedetails.com提供了这些产品类别,但我需要脱机可用的这些信息。有人能提供任何洞察力吗?
浏览 0提问于2018-08-17得票数 0
阅读此Ajax示例,
我找到了下面这行。我不确定要理解什么,你如何“检查每个平台规范的Sig值”?
“注意:为简洁起见,我们信任$_POST‘’fb_ sig _user‘而不检查完整签名。这是不安全的,因为任何人都可以很容易地伪造用户的操作。请始终确保使用随客户端库提供的Facebook对象,或检查每个平台规范的sig值。”
浏览 0提问于2010-05-18得票数 2
关于中的“”漏洞。是否有人知道此漏洞是否会影响JFrog Artifactory或前提版本?
已经寻找到支持,但还没有看到官方的回应,因此更公开地问这个问题。
浏览 4提问于2022-03-31得票数 2
这就是问题所在。我正在主持大约20个Wordpress网站在一个主机。当我从病毒中清除一个网站时(.ico文件将代码注入到index.php中),另一个已经清理过的网站被再次注入(在几个小时或几天内)。
对所有sql基进行备份和删除所有文件的解决方案-对我不起作用-因为在一些网站中,我的小自定义脚本(没什么,只是在html中做了很小的修改,非常肯定我没有错误地创建漏洞)。
所以我的问题是:
是否有可能在cPanel中分离主目录,这样每个网站都会彼此分离?
如果不是,将文件管理器中的权限更改为例如544将停止编辑文件?
关于如何永远删除这个黑客和所有后门,还有其他解决方案吗?
浏览 0提问于2018-08-26得票数 0
我正在尝试提出游戏请求,因为它使用的是
当我试图发送一个给定的对象时,什么都不会发生,在控制台中,我看到了500错误。
POST https://www.facebook.com/v2.3/dialog/apprequests 500 (Internal Server Error)
只有当我使用有效的object_id时,才会发生这种情况。如果我从另一个应用程序中输入了错误的ID或对象id,我就会收到错误的解释。如果对象id是有效的,我会收到500错误。
用于请求的参数
{
method: 'apprequests',
message: message,
浏览 5提问于2015-08-09得票数 0
回答已采纳
例如: Linux上安装的Chrome是否更容易遭到黑客攻击(窃取登录/密码、安装附加程序、在浏览器中更改某些内容.)而不是安装在Windows上的Chrome?
(我确实意识到Windows对入侵者来说是一个更有利的目标,并且被认为是一个不太安全的系统)
浏览 0提问于2015-11-25得票数 1
2回答
我正在寻找一个端口列表,这些端口按照您可以为该特定端口找到的漏洞数量排序(当然,考虑到安装在默认端口中的服务)。
例:假设今年我们在端口80 (30个apache,30个iis,20个nginx)中有800种秃鹫,而在这个列表中我们可以得到:
80 800 21 400 22 30
以此类推。
我不在乎不同类型的漏洞,但我只需要号码
浏览 0提问于2013-11-20得票数 -2
首先:抱歉,如果这里不是问这个的相关地方,如果不是,那么一些方向将是好的(谢谢)。
我对信息安全已经有几年的兴趣了,但最近我才在这方面采取了积极主动的一步,使用了Kali Linux,并学习了一些基础知识,比如airmon。但是我并不觉得我真的学到了什么,我觉得我只是在召唤一些命令来为我做所有的工作。我想知道的是,在我按下命令回车后,在每件事的背景下发生了什么。是否有任何非常深入的指南/教程/课程来提供这些知识?我不断地问我是如何进入某件事的,为什么我要这样做,还有什么其他的方法可以做到这一点吗?我是否能够在没有这些命令的情况下自己做同样的事情?
浏览 0提问于2016-08-11得票数 0
回答已采纳
1回答
我计划使用Kali linux从gcloud实例运行漏洞扫描到我们位于不同提供商上的服务器,我应该如何通知Google团队不要被禁止?
浏览 1提问于2017-05-25得票数 0
我被指派(作为我们都没有任何IT背景团队中最年轻的IT专家)检查我们的工业计算机。
事实证明,这种情况是可怕的,关键机器运行的东西与WindowsNT4.0或Windows 2003一样古老。
在这种情况下,这是我的责任问题,如果没有增值的话,就没有钱花在升级上了。
为了给出一个准确的建议,我想为给定的操作系统找到一个安全漏洞的列表,在理想的世界中,有一个损坏和相似的指示,这样我就可以建立一个损坏概率矩阵。
浏览 0提问于2017-08-08得票数 0
回答已采纳
2回答
我正在做一个项目,建立在magento上的3家小众商店(使用magento的多家商店功能),每个商店每天都有大约50000名独特的访问者。这些网站目前没有博客或论坛或任何社交网络方面。
想要添加一个cms到每个网站,可以集中运行,并希望它接管前端的内容,从Magento。此外,它还希望保持一个在线博客/出版物的种类与视频,文章,和类似的特权,以编辑的内容,给予十几个不同的特权人。想要添加一个论坛到每个网站是相当健壮的,并可能添加一些社交网络方面的道路,所以可扩展性和可用的插件/mods在每个cms是重要的。
除论坛、博客/出版物和商店之间的共享登录外,还希望能够将论坛和博客/出版物的某些内容集
浏览 0提问于2011-03-24得票数 2
我发现这段由发布的优秀代码是对以下问题的回答:
您可以编写动态脚本标记(使用原型):
新元素(“script”,{src:"myBigCodeLibrary.js",类型:"text/javascript"});
这里的问题是,我们不知道何时外部脚本文件是完全加载。
我们通常希望我们的依赖代码位于下一行,并且喜欢编写如下这样的代码:
如果(iNeedSomeMore){ Script.load("myBigCodeLibrary.js");//包含myFancyMethod()的代码;myFancyMethod();//酷,不需要回调!}
有一
浏览 0提问于2009-02-27得票数 5
回答已采纳
4回答
通过查看一个最新发布的IE应用综述,我注意到了我所认为的组装。我对开发开发一无所知,但我对组装有一点了解。看到组装代码,这是否意味着在特定的OSs上利用特定的体系结构?
这是否意味着每个操作系统( XP,Vista,7,8 )都需要在程序集中开发一次IE漏洞,根据32/64位加倍,然后根据字节顺序再次加倍?
浏览 0提问于2014-04-28得票数 11
回答已采纳
1回答
最近我注意到了一些奇怪的事情。在我的网站上的每个公共JavaScript文件中,在每个文件的末尾都添加了重定向脚本。
我可以访问access.logs之类的东西。
如何定位槽?人们插入这些东西的方法是什么?
他们是如何访问我所有JavaScript文件的写权限的?
浏览 7提问于2012-04-08得票数 4
回答已采纳
使用Grails 2.4.4而不是最新版本会不会不安全?(2.4.4是我目前可以用Brew下载的最新版本)。GGTS for eclipse (目前)不支持Grails 3,所以我想知道是否需要购买Intellij来开发安全的应用程序。
我不明白为什么它会不那么安全,但我想我应该要求确认一下。
浏览 0提问于2015-05-02得票数 0
1回答
我计划创建一个4096位RSA&RSA密钥对:
gpg --gen-key --personal-digest-preferences SHA512 --cert-digest-algo SHA512
在1.4版(经典版)、2.0版(稳定版)和2.1版(现代版)之间,生成的密钥质量有什么不同吗?
背景:我考虑在一个干净引导的Debian稳定生活系统上创建密钥,这是GnuPG版本1.4.12附带的。
浏览 0提问于2015-01-09得票数 6
回答已采纳
在报头、大小和有效载荷方面?
我们在课堂上一直在学习DDOS攻击,他们已经告诉了我们所有的抽象想法,但没有告诉我们发送的数据包的实际构成会是什么样子,我很好奇。
浏览 0提问于2015-04-30得票数 -1
1回答
在.bmp中生成C#图像
、、、、
我想要生成一个二维像素数组,然后将其保存在.bmp文件中。我读过关于位图的文章,但我并不完全理解如何将Integer的2D数组转换为位图图像。
这就是我已经找到并试图做的
// Create array of integers
int width = 1024;
int height = 768;
int[] integers = new int[width * height];
// Fill array with random values
Random random = new Random
浏览 2提问于2014-02-01得票数 0
回答已采纳
2回答
我的Java applets/应用程序的许多用户都没有安装Java 7(大约80%,令人惊讶)。如果我用Java 6编译程序,
Java 7的用户会暴露在Java 6中的安全漏洞中吗?
我的applet/应用程序会与Java6和 7一起工作吗?
有什么缺点吗?我并没有真正使用任何新的Java 7特性(除了钻石操作符,它很容易修复)。
浏览 6提问于2013-01-28得票数 2
回答已采纳
1回答
我有一个使用boost线程的程序。该程序具有启动和停止功能。当程序启动时,我创建了一个执行某些处理的boost线程。当程序停止时,我在这个线程上调用join并删除线程的指针。我的程序第一次正确地启动和停止;但是,当我第二次尝试启动我的程序时,我在boost内部的断言失败(当更新处理线程时),并且在我的屏幕上输出以下内容
/root/src/boost.cmake/libs/thread/src/pthread/once.cpp:46: unsigned long &boost::detail::get_once_per_thread_epoch(): Assertion`!pthrea
浏览 0提问于2012-05-08得票数 3
我想知道目前的访问者是否已经访问了一个特定的网站。该网站是由其他人拥有,并在一个不同的领域。
有办法吗?
浏览 0提问于2021-02-24得票数 1
回答已采纳
启用W^X时,是否有可能从全局偏移表的单个覆盖中可靠地执行任意代码?所谓“可靠”,是指假设我只控制指令指针所指向的位置,并可能在其他地方控制一些不可执行的数据。
为什么我要问:使用House of Force堆利用在这里降级,可以覆盖任意内存,这使得获取的对象成为劫持指令指针的诱人目标。但是,为了使堆溢出的实现工作(即获取一个shell),作者必须注入shell代码以指向GOT。如果启用W^X,则此技术将失败。有没有一种方法(可能利用ROP/JOP)?克服了这个限制?我之所以很难这样做,是因为在这个漏洞中,您只控制指令指针,而不是堆栈指针,所以我很难找到一种使ROP工作的方法,而且JOP似乎需
浏览 0提问于2017-09-30得票数 0
回答已采纳
我听说有一个spring框架到.Net框架的移植,叫做spring.net。有谁能比较这两个框架吗?如果设计系统,选择哪一个或两个都可以使用。
浏览 6提问于2010-11-12得票数 0
回答已采纳
好的,我会尽量精简。
我想要的:
我想要建立一个网站,将允许客户注册一个小额费用,并允许他们上传内容到他们独特的用户文件夹。
一般用户可以免费注册并请求从不同的客户端下载特定的文件(而不仅仅是一个)。管理员将管理下载客户端文件的所有用户请求。一旦管理员批准,一封电子邮件将发送给用户,声明他们现在可以登录下载文件。
用户登录并在其主页中,他们已经批准下载的文件现在可以作为下载或在浏览器中播放选项可见。
用户下载文件,修改它,然后将修改后的文件上传回相应的客户端文件夹。
我遇到的问题:
像drupal,joomla这样的CMS会对这种类型的网站最有效吗?或者它必须是一个
浏览 1提问于2010-10-21得票数 2
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
为了减轻CVE-2022-22965中的漏洞,我需要更新JFrog的哪个版本?
我使用的是7.18.12版本,但我不确定这是否足够新。
浏览 3提问于2022-11-01得票数 1
2回答
我以前从来没有接触过XSS,但我刚刚收到一位访问者的评论,说我的网站有XSS漏洞。
他很友好地为我提供了一个字符串,该字符串激活了一个显示用户cookie的提示框。我有很多代码在这个网站和网络应用程序,我如何找到并修复它?我该从哪里开始呢?
浏览 0提问于2013-06-18得票数 0
Livesync未正常工作。每次我修改js、xml或css时,它都会将代码重新部署到设备中,而不是应用这些更改。我们如何解决这个问题?
我使用过以下命令:
tns run android --emulator --watch
tns livesync android --emulator --watch
浏览 26提问于2016-09-09得票数 1
2回答
我是这个领域的新手,并试图使用kali vm中的metasploit在本地存储在我的主机pc上的php web应用程序。我运行了一些扫描器,如wmap、OpenVAS和Nessus,并发现了一些漏洞,但我很难找到在msf中使用的匹配漏洞。我试过“搜索cve”,甚至在谷歌上使用“”等等,但是没有结果。对于如何进行,有什么建议吗?例如,一个关键的发现是CVE-2014-3515,但是我找不到一个漏洞。
浏览 0提问于2014-11-28得票数 3
1回答
我想知道是否有可能为核心移动应用程序开发一种插件。例如,如果我想在邮件应用程序(iOS/Android/WP8 8)中添加一些功能,而不需要重新编写一个具有额外功能的邮件应用程序。
为了说明:让我说,我想添加功能到文本消息应用程序。当有人收到短信的时候,我会想在外部数据库中查找这个号码(使用3G或Wifi),并获得此人的facebook ID,并且有可能回复他的facebook帐户而不是他的手机。
这是否可以在iOS、安卓和WP8上实现,而无需编写自己的短信应用程序,而只需插入核心应用程序?
浏览 1提问于2014-04-02得票数 0
回答已采纳
1回答
寻找一个公式和参数来填充它,当系统中的漏洞的来源和原因未知时,该公式和参数将有助于系统内关系的隔离。下面是一个未知向量(S)的攻击示例,但对攻击的发生有一种认识:确认我已经完全删除了一个WordPress黑客?
浏览 0提问于2011-06-10得票数 5
回答已采纳
我使用java已经有一段时间了,现在我想做一个类似于部落冲突/建筑/帝国游戏的游戏。
我已经安装了Android SDK并设置了一个项目,但我想知道我真的需要什么工具来开始这项工作?
1)在手机和平板电脑上创建应用程序是否需要不同的SDK?
2)有没有我应该看的库,因为现在我什么都没有。
3)我还需要什么其他东西?
浏览 2提问于2014-04-13得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
