1回答
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。//localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到
浏览 0提问于2019-12-10得票数 0
我正在尝试检查GeoServer中的GeoServer漏洞,在将旧的log4j包更新到解决该问题的新包之前和之后。为此,我使用Zap工具检查漏洞,在那里我发现了活动扫描规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)漏洞。请查看此链接以获得更多信息。而且,对于如何执行这个活动扫描规则alpha,我也不太困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查log4j GeoServer漏洞的正确方法?或者还有其他的
浏览 28提问于2021-12-15得票数 -1
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
5回答
在大型网络上进行漏洞评估时,通常的做法是确定网络上的哪些主机处于活动状态。
这可以通过各种方式进行。据我所读,做一些ICMP扫描是很好的,也许使用带有发现组件的漏洞扫描器,或者做一些TCP/UDP扫描来查找没有响应或阻塞ICMP通信量的主机。有时,当进行TCP/UDP扫描时,即使没有检测到端口,nmap也会认为每个主机都是活动的。这是通过使用带有nmap的-PN交换机来实现的,这是必要的,因为否则主机似乎处于关闭状态,而且我确实发现
浏览 0提问于2013-11-14得票数 4
回答已采纳
我正在使用Ossim,我用OpenVas扫描了一个漏洞。我收到反馈说我们的一些软件在扫描后坏了。我们将检查日志以确定扫描是否导致了这种情况,但我想知道: OpenVas是一个活动的扫描器吗?
浏览 0提问于2016-04-07得票数 3
回答已采纳
我正在尝试编译一个漏洞列表,当您在when应用程序上以攻击模式运行“活动扫描”时,ZAP试图找到这些漏洞。文档中是否存在此列表?如果它也有它尝试的所有输入的列表,那将是非常有用的。
浏览 0提问于2018-02-14得票数 1
回答已采纳
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。所以我想知道,OpenVAS是如何确定它是否脆弱的?它是否基于网页返回的内容?服务器返回的状态代码?
浏览 0提问于2019-11-21得票数 1
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
我有一个Azure SQL托管实例,它具有活动漏洞扫描评估例程。而且每次它给我的是VA2129 -对签名模块的更改应该是授权的。我已经做了很多次了,但是这个已经反复出现了。对于我的托管实例,是否有任何方法禁用任何像VA2129这样的漏洞评估规则,以避免多次基线化?
浏览 9提问于2022-05-02得票数 0
回答已采纳
我正在使用的java客户端应用程序接口来自动和动态地检测许多网站的漏洞。我需要释放指定url的所有资源(警报、爬虫结果、活动扫描结果、内存使用情况),并且不干扰其他url的扫描。那么,如何在zapproxy扫描中删除指定url的资源呢?
浏览 17提问于2016-06-12得票数 0
1回答
专业的渗透测试人员通常擅长发现各种漏洞,包括逻辑缺陷,这些漏洞都是针对被测试站点的高度特定的。然而,作为一种手动活动,渗透测试很少执行,因此开发人员希望在内部执行更多的安全QA。内部安全质量保证通常使用安全工具--网络扫描器或静态代码分析器。这些工具对于一些漏洞(例如跨站点脚本)是很好的,但它们通常根本找不到逻辑或授权缺陷。
那么,我们如何帮助开发人员发现逻辑和授权缺陷呢?
浏览 0提问于2013-10-29得票数 3
回答已采纳
2回答
在3月14日的广播中,在大约31分钟时,他们提到了端口5904/TCP上扫描活动的增加。研究人员提到,他们不知道正在扫描的是什么。
有人知道攻击者(或良性用户)有哪些漏洞(或使用)吗?可能在找?
浏览 0提问于2013-03-21得票数 1
我还使用谷歌的谷歌认证器进行双因素认证。
这是否值得关注的原因呢?每秒钟看到多个请求,我有点害怕。
浏览 0提问于2018-10-05得票数 0
我的公司要求所有生产站点都要通过AppScan安全扫描。有时,当我们扫描SharePoint安装时,软件会检测到盲目的SQL注入漏洞。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他活动解释为盲注入的成功。但很难证明这是真的。如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入漏洞。
浏览 0提问于2008-11-21得票数 7
2回答
简单的活动扫描可以在网站(如XSS )中发现漏洞。那我们为什么要用模糊器呢?
如果有人能弄清楚这件事,那就太棒了!我刚接触过网站黑客。
浏览 0提问于2018-11-13得票数 2
回答已采纳
1回答
您将使用什么评估标准来选择正确的Oracle扫描工具?部署自动化扫描工具(nessus / SQuirreL等),供开发团队和安全团队使用。这两个小组在构建阶段使用的一个工具是持续管理(修补、更改DB结构)和与保证有关的活动(如内部审计或安全审查)。限制密码破解的能力。进行漏洞扫描的能力该工具是否会生成缺失补丁的报告?
是否可以将
浏览 0提问于2011-05-31得票数 7
我正在寻找一种查找Struts2 OGNL漏洞的方法(特别是http://www.cvedetails.com/cve/CVE-2013-4316/ )http://www.cvedetails.com我知道攻击者有这样的工具,当您已经知道漏洞的确切位置时,就有一个Metasploit模块可供使用。什么是查找易受这些攻击攻击的web应用程序页面的好方法(从黑匣子的角度来看)?
浏览 0提问于2013-12-17得票数 2
我正在寻找一些更先进的安全检查的例子,我可以在我的网站上执行。我最感兴趣的是:
任何示例都将不胜感激
浏览 6提问于2013-02-01得票数 0
回答已采纳
我在python的ftblib库中发现了这个漏洞CVE-2021-4189 ()。 #
浏览 12提问于2022-09-06得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
