1回答
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。//localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到
浏览 0提问于2019-12-10得票数 0
我正在尝试检查GeoServer中的GeoServer漏洞,在将旧的log4j包更新到解决该问题的新包之前和之后。为此,我使用Zap工具检查漏洞,在那里我发现了活动扫描规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)漏洞。请查看此链接以获得更多信息。而且,对于如何执行这个活动扫描规则alpha,我也不太困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查log4j GeoServer漏洞的正确方法?或者还有其他的
浏览 28提问于2021-12-15得票数 -1
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
5回答
在大型网络上进行漏洞评估时,通常的做法是确定网络上的哪些主机处于活动状态。
这可以通过各种方式进行。据我所读,做一些ICMP扫描是很好的,也许使用带有发现组件的漏洞扫描器,或者做一些TCP/UDP扫描来查找没有响应或阻塞ICMP通信量的主机。有时,当进行TCP/UDP扫描时,即使没有检测到端口,nmap也会认为每个主机都是活动的。这是通过使用带有nmap的-PN交换机来实现的,这是必要的,因为否则主机似乎处于关闭状态,而且我确实发现
浏览 0提问于2013-11-14得票数 4
回答已采纳
我正在使用Ossim,我用OpenVas扫描了一个漏洞。我收到反馈说我们的一些软件在扫描后坏了。我们将检查日志以确定扫描是否导致了这种情况,但我想知道: OpenVas是一个活动的扫描器吗?
浏览 0提问于2016-04-07得票数 3
回答已采纳
我正在尝试编译一个漏洞列表,当您在when应用程序上以攻击模式运行“活动扫描”时,ZAP试图找到这些漏洞。文档中是否存在此列表?如果它也有它尝试的所有输入的列表,那将是非常有用的。
浏览 0提问于2018-02-14得票数 1
回答已采纳
怎样才能有效地在公共云上部署多个漏洞扫描器实例,在一个月内扫描该IP范围?对于计算,假设漏洞扫描器的一个实例可以每天完成100个IP地址。我在看Nessus AMI,但许可证是每年发放的,因此每个许可证的机会成本为11个月。
浏览 0提问于2016-06-30得票数 2
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。所以我想知道,OpenVAS是如何确定它是否脆弱的?它是否基于网页返回的内容?服务器返回的状态代码?
浏览 0提问于2019-11-21得票数 1
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
我有一个Azure SQL托管实例,它具有活动漏洞扫描评估例程。而且每次它给我的是VA2129 -对签名模块的更改应该是授权的。我已经做了很多次了,但是这个已经反复出现了。对于我的托管实例,是否有任何方法禁用任何像VA2129这样的漏洞评估规则,以避免多次基线化?
浏览 9提问于2022-05-02得票数 0
回答已采纳
我正在使用的java客户端应用程序接口来自动和动态地检测许多网站的漏洞。我需要释放指定url的所有资源(警报、爬虫结果、活动扫描结果、内存使用情况),并且不干扰其他url的扫描。那么,如何在zapproxy扫描中删除指定url的资源呢?
浏览 17提问于2016-06-12得票数 0
1回答
专业的渗透测试人员通常擅长发现各种漏洞,包括逻辑缺陷,这些漏洞都是针对被测试站点的高度特定的。然而,作为一种手动活动,渗透测试很少执行,因此开发人员希望在内部执行更多的安全QA。内部安全质量保证通常使用安全工具--网络扫描器或静态代码分析器。这些工具对于一些漏洞(例如跨站点脚本)是很好的,但它们通常根本找不到逻辑或授权缺陷。
那么,我们如何帮助开发人员发现逻辑和授权缺陷呢?
浏览 0提问于2013-10-29得票数 3
回答已采纳
2回答
在3月14日的广播中,在大约31分钟时,他们提到了端口5904/TCP上扫描活动的增加。研究人员提到,他们不知道正在扫描的是什么。
有人知道攻击者(或良性用户)有哪些漏洞(或使用)吗?可能在找?
浏览 0提问于2013-03-21得票数 1
我还使用谷歌的谷歌认证器进行双因素认证。
这是否值得关注的原因呢?每秒钟看到多个请求,我有点害怕。
浏览 0提问于2018-10-05得票数 0
我的公司要求所有生产站点都要通过AppScan安全扫描。有时,当我们扫描SharePoint安装时,软件会检测到盲目的SQL注入漏洞。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他活动解释为盲注入的成功。但很难证明这是真的。如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入漏洞。
浏览 0提问于2008-11-21得票数 7
我最近安装了Greenbone漏洞助理。每当我点击扫描>任务>新任务,扫描Config下拉菜单就不会被填充。当我单击Save时,它会给出以下错误消息:当我单击Configuration如何导入扫描扫描图?从阅读它,应该有默认扫描信任预先安装,这是对的吗?我遗漏了什么?
谢谢。
浏览 0提问于2021-06-13得票数 4
一个新的Nessus插件(140735 - HTTP走私侦破)最近被整合到Tenable的PCI模板中,现在它被标记为一个“中等”漏洞,并导致扫描失败。我们向公立学校及其成员提供软件,并且仍然有很高的流量来自较老的浏览器,如IE 11和Android 4.4.4's Chromium-30基于web视图,因此禁用HTTP/1.1不是一种选择(我也不认为这是我们的我还扫描了一个静态站点的标准CloudFront端点,扫描也失败了。如果任何人熟悉此插件和/或能够帮助克服此
浏览 0提问于2020-09-25得票数 0
回答已采纳
当存在CVE-2015-5352漏洞时,PCI遵从性将失败。OpenSSH 6.9修复了此漏洞,但支持的任何Ubuntu版本(12.04、14.04、15.04和15.10)都没有补好。解决此漏洞的最佳方法是什么?
浏览 0提问于2015-07-23得票数 1
回答已采纳
2回答
简单的活动扫描可以在网站(如XSS )中发现漏洞。那我们为什么要用模糊器呢?
如果有人能弄清楚这件事,那就太棒了!我刚接触过网站黑客。
浏览 0提问于2018-11-13得票数 2
回答已采纳
1回答
您将使用什么评估标准来选择正确的Oracle扫描工具?部署自动化扫描工具(nessus / SQuirreL等),供开发团队和安全团队使用。这两个小组在构建阶段使用的一个工具是持续管理(修补、更改DB结构)和与保证有关的活动(如内部审计或安全审查)。限制密码破解的能力。进行漏洞扫描的能力该工具是否会生成缺失补丁的报告?
是否可以将
浏览 0提问于2011-05-31得票数 7
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
