我绝对不是安全专家。我拥有一个非常小的个人网站,我主要是为了练习而用php编写的。
我注意到日志里有个奇怪的url电话
process.php?d=MV0f+F6R+6Nn/B4VDh1FRJ9fSEjpPw==&b=1
我试着自己跟踪那个url,但它除了404之外什么也不去。
我不想从轨道上核爆我的网站。至少我可以采取哪些步骤来确定是否真的发生了任何事情。
这个网站是用symfony 4写的(不管它值多少钱)。
浏览 0提问于2019-09-26得票数 0
回答已采纳
6回答
我听说有一些免费的应用程序可以检查PHP网站的漏洞,但我不知道该用什么。我想要一个Windows的免费程序(最好有一个GUI),它将分析我的网站,并给我一个报告。
有人知道解决方案吗?
浏览 2提问于2008-12-04得票数 37
回答已采纳
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。
有一个OpenVAS尝试的url,即/news/?group_id=&limit=50&offset=50;select+1+as+id,unix_pw+as+forum_id,+user_name||unix_pw+as+summary+from+users
我有一个简单的NewsPost模型,我已经创建了一个路径,将响应上述网址在我的网络应用程序。
执行的SQL是:SELECT * FROM news_posts WHERE group_id=&limit=50&offset
浏览 0提问于2019-11-21得票数 1
这是我第一次在网站上发现漏洞。
一个客户只是想从拍卖网站上抓取一些数据。
在收集客户数据时,我注意到,如果有什么东西卖出去了,你需要购买年度订阅,看看它卖了多少钱,词汇表,商品信息等。
但我发现它的售价仍然是由JavaScript注入的,而不是显示出来的,这是一个要求客户付费的功能。
我只是想从那些经常测试漏洞的人那里得到一些建议,告诉他们如何处理公司的漏洞。
提前感谢..
浏览 0提问于2021-02-24得票数 0
我已经有一段时间没有做Elasticsearch + Kibana项目了,但是当我现在使用elasticsearch-head前端时,我注意到添加了多个索引(如下图所示)
如果我向右滚动,我会看到与Logstash相关的文件,比如logstash-2015.06.26。因此,除了这些元素出现之外,一切似乎都是正常的(它们也是众多的)。
当然,我一定是做错了什么事情才会发生这种情况,似乎Logstash正在解析一个不想要的目录的所有文件。我在我的input或filter文件中找不到任何不寻常的地方。
对如何解决这个问题有什么想法吗?
谢谢。
浏览 4提问于2015-10-22得票数 0
回答已采纳
题目在题目里。我似乎找不到一个直截了当的答案,泰伯似乎在他们的网站上回避一个“是/否”的答案。几年前,有人告诉我,Qualys是由PCI批准的PCI遵从性,而Nessus当时没有。这一切都变了吗?
浏览 0提问于2016-08-11得票数 0
回答已采纳
3回答
我们公司将在PCI DSS 3.1下进行SAQ。
我们是否需要付钱给供应商来做现场扫描,或者我们是否可以使用像Nessus这样的东西来自己做扫描?
浏览 0提问于2015-06-16得票数 1
回答已采纳
1回答
有人知道管理Web应用程序安全漏洞的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用程序中,我们需要在应用程序中的某个点来利用某些漏洞。我不确定这样的事情是否存在,但我想我会问。开源会更好。
浏览 0提问于2016-01-07得票数 -2
在哪里或者怎样才能找到一个没有补丁的操作系统的安全漏洞列表呢?我想确定我可以告诉服务器所有者在过时的操作系统上的实际风险。我可以得到所有CVEs的列表,但是我无法筛选补丁状态。
浏览 0提问于2016-06-30得票数 3
回答已采纳
1回答
我想知道电池的排放有多大,而在后台运行iOS应用程序时,正在扫描附近的iBeacons。
电池要花多少钱?
浏览 2提问于2013-10-18得票数 1
回答已采纳
2回答
我在安全测试方面很新。
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。
一些服务也使用OAUTH。
谢谢
浏览 0提问于2016-06-20得票数 3
出于好奇,我没有IoT设备,但将进行安全测试;我构建了Nodemcu esp8266服务器。它显示了一个HTML页面(例如,在移动电话上),它允许控制相机模块和A/C继电器并与之交互。例如,我可以显示相机拍摄的图像,我甚至认为它内置了一些图像识别,我可以打开或关闭一个电流继电器(110/220 v A/C电源)。
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?(如果我找不到有用的东西,我对物联网中的五极线的方法可能是错误的)
我认为这可能是一个完全没有意义的练习,因为esp8266 ww
浏览 9提问于2021-04-07得票数 0
回答已采纳
5回答
我需要一个很好的Ubuntu漏洞审核工具,所以我决定尝试nmap --我还记得有一种产品可以完成这样的工作-- nessus --它在存储库中不再可用,并且Ubuntu站点http://nessus.org/nessus/上的包已经过时了,我认为最新的版本可能会针对特立独行的人,有人有使用Nessus的经验吗?它与nmap相比如何?
浏览 0提问于2010-11-10得票数 9
回答已采纳
是否有任何软件或硬件可以在没有付费订阅的情况下执行渗透测试?例如,免费使用,如Kali-linux等。我想学习如何执行渗透测试。如果有任何网站或指南,您的建议,我将不胜感激。
我想在无线路由器和服务器(如Windows、Mac和Linux设备)上进行渗透测试。
有没有可能从安卓,iOS,Linux,黑莓设备上下载?
谢谢。
浏览 0提问于2016-02-28得票数 1
我为我拥有的单个EC2实例启用了AWSAmazon检查器(2)。这是一个带有php和apache的ubuntu,没有什么特别之处,状态显示了过去3个小时的扫描。
我看看这台机器的htop,我看到/snap//#/amazon agent正在运行,还有几个/snap//#/ssm-agent-worker正在运行。还是..。三个小时过去了,我没有结果。
它起作用了吗?它不起作用吗?还有更详细的状态吗?另外,如果有人有这方面的经验,你能分享你等待结果的平均时间吗?
浏览 24提问于2022-05-06得票数 0
每个防火墙接口IP是否被视为外部IP?
我们需要扫描每个接口IP吗?
什么是内部扫描?内部的要素是什么,我们是如何做到的?
浏览 0提问于2014-10-29得票数 1
回答已采纳
与手动查找漏洞相比,像w3af这样的工具在查找web应用程序漏洞方面有多有效?他们是否能够从OWASP前10名中找到所有漏洞,如反射xss、持久xss、sqli、lfi/rfi和不受限制的文件上传?还是会有一些漏洞从裂缝中掉下来,而仍未被发现?
浏览 0提问于2014-11-27得票数 3
我刚开始玩OpenVAS虚拟设备。
因此,我为ssh添加了凭据,它将用于访问Cisco路由器:
📷
因此,这将允许OpenVAS登录到用户模式,但它将如何访问启用模式?还是我走错路了?我认为OpenVAS需要启用模式访问来执行某些扫描。
浏览 0提问于2015-10-16得票数 1
2回答
我们使用Snyk作为开源依赖扫描程序。我们目前在每个拉请求上扫描易受攻击的库,这会给我们的开发人员带来开销。什么是好的开源漏洞扫描频率?它应该是每周,双周,每月还是连续?
我试图向我的团队推荐AppSec流程,并希望了解行业实践。如果有一个最佳实践指南,这也会有所帮助。
浏览 0提问于2021-02-08得票数 1
1回答
我知道如何获得存储库,我们可以使用az acr repository list --name myregistry。
但是,在使用azure cli进行安全扫描之后,如何获得具有安全/漏洞问题的标记的存储库呢?
浏览 2提问于2022-09-07得票数 1
我有一个关于安排漏洞扫描和评估工作的问题。
我正在制定漏洞扫描的时间表。我想知道什么时候,为什么要开始扫描,首先-什么条件应该需要这个要求。
是否应该在系统/应用程序设计或配置发生更改时启动此练习?
如果我采用这种方法,我就不得不质疑变化的正确性。这一改变是否得到批准,是否遵循了实施/引入变革的指导方针或最佳方式。
由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。
当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风险/测试漏洞,我不需要扫描。
那么,漏洞扫描是否应该由变化或
浏览 0提问于2013-01-23得票数 1
回答已采纳
我之所以问这个问题,是因为有一个常见的遵从性论点,即执行"OWASP前10位“扫描提供了足够的覆盖率,可以将其视为”深度“扫描。是这种情况,还是各组织正在实施最低程度的扫描覆盖?
浏览 0提问于2020-06-09得票数 2
回答已采纳
2回答
在web应用程序的上下文中,漏洞扫描是否是一种形式的模糊?
我被告知情况并非如此,但我知道的是:
Wikipedia将模糊定义为“向计算机程序的输入提供无效、意外或随机的数据”。
Web应用程序漏洞扫描器发送无效的意外数据,以识别SQL注入或跨站点脚本等漏洞。
浏览 0提问于2016-05-29得票数 1
回答已采纳
2回答
在蓝牙设置下打开"Discoverable“会增加功耗吗?当它被打开时,它会不断地让手机处于查询扫描状态吗?如果不是常量,查询扫描的频率是多少?
浏览 2提问于2011-07-06得票数 1
回答已采纳
1回答
我们公司的一个站点将所有错误的URL重定向回登录页面,这是访问站点所必需的。这不安全吗?我觉得这可能会引起一些奇怪的问题,因为我以前从未见过这种情况,或者至少是一种糟糕的做法。例如,https://www.google.com/fndnandas将重定向到https://www.google.com,而不是像google那样显示404页面。
浏览 0提问于2022-09-27得票数 1
我的主机多个wordpress站点都遇到了安全问题。所有的网站都有不同的主题,在不同的服务器上,在不同的用户内部隔离。他们已经竞选了几个月,没有任何问题。然而,上周,他们中的一些人受到以下因素的影响:
将流量重定向到显示文件系统中奇怪/损坏文件的垃圾邮件,包括添加到.php文件(编码头)中的额外文件和内容--我们的云提供商发出了滥用警报:一家大银行联系了他们,称我们的IP地址被用来进行钓鱼攻击。服务器在PHP进程(非常高的负载、CPU和内存使用)方面运行得很高。
对此,我有:
一个月前,FilesChecked 从备份中复制了SQL和Wordpress文件,用官方的Wordpress 替换了整
浏览 6提问于2020-04-20得票数 0
1回答
我的VM扫描器已通过经过身份验证的扫描检测到以下漏洞,请参阅下面。
这是一个由BIGSQL (Dev & Ops )提供的web应用程序。使用此应用程序安全吗?还是可以在没有凭据的情况下利用这些漏洞?如果有人设法获得未经授权的访问web应用程序,那么我可以想象,这些漏洞将是我最不关心的。
📷
浏览 0提问于2017-11-01得票数 0
回答已采纳
可能重复: 检查常见漏洞的工具?
是否有任何应用程序可以对我的网站进行随机查询,并试图在其中发现漏洞?我特别关心的是sql注入?
浏览 0提问于2011-10-30得票数 0
2回答
我被要求在我们的开发过程中集成代码审核工具HP Fortify,但是它的主要限制是不应该每次扫描整个代码:只应该分析受上一个待办事项影响的类。
我们使用Jenkins和SonarQube,所以我看了一下可用的插件,但是找不到符合要求的东西:不要每次都扫描整个代码。
您知道有什么工具或HP配置可以满足我的需要吗?
浏览 0提问于2017-04-18得票数 3
2回答
我最近被介绍到OpenVAS,因为我在工作中扫描我们的网络。我对nmap很熟悉,而且我对它的性能很满意,当它从cli中独立使用时,通过iptraf我可以看到它正在以每秒超过1000个数据包的速度进行扫描,但是当通过OpenVAS扫描时,我似乎不能每秒破坏30个数据包,即使nmap首选项设置为扫描25个并发主机,每秒的速率为25包。
我非常希望首先使用nmap进行扫描,然后将结果导入OpenVAS进行进一步的漏洞测试,理想情况下,让OpenVAS只探测nmap报告的开放端口。
我一直在谷歌和谷歌,我没有找到任何明确的说明如何导入结果。海事组织,我认为这将是一个相当标准的特点。
对于如何将grep
浏览 0提问于2013-12-11得票数 2
非常基本的问题,但我似乎在文档中找不到它。当连续扫描打开时,将以什么频率和何时扫描注册表?我几个小时前就把它打开了,但还没扫描。
浏览 11提问于2021-12-17得票数 0
回答已采纳
4回答
我们正在计划一种漏洞管理解决方案,因此我正在寻找诸如Nessus、Qualys和N外地等著名解决方案之间的评估标准。如果有人能分享这样的评价点,那将是非常有帮助的。
浏览 0提问于2016-06-07得票数 2
我开发了一个web应用程序,主要是在PHP和JavaScript中使用一些AJAX。
我并没有这种体验,但我喜欢尝试一些工具,比如sqlmap,看看我的代码中是否有任何缺陷。
或者,如果您知道一些代码,我可以尝试各种形式,这也可能是有帮助的!
浏览 0提问于2015-12-24得票数 -4
回答已采纳
如果我想测试一个web应用程序。
对于哪些类型的漏洞不能扫描应用程序扫描仪,哪里不能应用程序扫描器扫描(例如。在什么财产上)它的“力量”最多?
像Vega,Nikto,Burp这样的扫描仪。
浏览 0提问于2020-03-03得票数 1
我在一个不再解析的DNS上运行了一次N曝露扫描,发现了一个漏洞: X.509证书主题CN与实体名称不匹配
我不知道为什么它仍然产生一个漏洞,而DNS甚至不应该解决。
我该怎么解决这个问题?
浏览 0提问于2022-12-03得票数 0
1回答
有没有办法(或一个cPanel插件),可以不断扫描网站的漏洞/恶意软件/漏洞从WHM或cPanel?
浏览 1提问于2013-03-29得票数 0
2回答
我想知道其他人在设置他们的企业计划漏洞扫描策略方面做了什么。例如,您喜欢创建单个扫描策略并扫描所有网络,而不管主机平台(windows、linux、SQL Server、Oracle、Apache、IIS等)。还是您最终创建了多个扫描策略,只启用了对操作系统、数据库、web服务器等的检查?后者似乎是一个更好的选择,为目标平台的性能和自定义设置,但我认为将很难确保扫描覆盖和维护策略,因为主机被添加,改变,或删除。它还在将扫描结果从多个报表策略合并回一起的末尾添加了一个步骤。
我正在使用Nessus,目前我有一个单独的策略,它被配置为扫描multiple /24's,启用了大多数插件,并为
浏览 0提问于2013-12-04得票数 2
回答已采纳
我今天刚从我们的服务器上读取了日志,发现了一些IP发出的cgi请求。(我刚刚粘贴了其中的一些)。
你知道他对这些请求做了什么吗?这些请求是否会造成安全问题?我应该如何防御未来的此类攻击?
62.210.113.143 - - [29/Sep/2015:13:36:00 -0700] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 200 18 "-" "() { foo;};echo; /bin/bash -c \"expr 299663299665 / 3; echo 333:; uname -a; echo
浏览 0提问于2015-10-01得票数 1
--基本上,node.js或javascript函数将使用web3或其他方法从ETH或BSC扫描中提取数据,并按以下步骤进行分析和显示:
系统将采用ETH或BSC链的智能合同地址。
该系统将通过一个平台找到链,如Etherscan.io,BSC扫描。
在知道了链后,系统将检查有多少钱包持有令牌“持有者”。
通过ETH或BSC扫描获取合同创建日期。
我怎样才能取得所需的成果?
浏览 2提问于2021-07-24得票数 2
回答已采纳
如今,云扫描仪变得越来越普遍。价格比前提扫描器便宜得多。我对云扫描仪的关注是,它们在第三方网络上存储敏感信息。(我不确定敏感信息是否只包括扫描结果)。除了扫描结果外,还有其他信息可以存储吗?我知道,当我参加网络法和合规课程时,我记得其中一些课程(HIPPA、SOX、PCI)要求将个人信息传输到另一个网站。在使用Cloud应用程序扫描仪时,无论是SAST还是DAST,我是否应该关注这个问题?你对云扫描仪和前提扫描仪有什么经验和想法?
浏览 0提问于2014-09-04得票数 0
回答已采纳
1回答
我正在一个apache服务器上实现mod_security。为了测试保护的有效性,我正在寻找一个能够生成一组预定义的恶意HTTP请求的客户端。我将在启用和不启用mod_security的情况下测试请求,并根据日志查看恶意请求被阻止的百分比。
您知道有什么好的工具来生成一组预定义的恶意HTTP请求吗?
浏览 0提问于2011-06-01得票数 3
回答已采纳
我想扫描我自己的网站的漏洞使用Vega和w3af从卡利linux。我假设这些工具执行主动攻击,而不是被动攻击。这是正确的吗?
如果它们确实对站点执行主动攻击以查找漏洞,那么有效负载是否是恶意的?在检查SQL注入时,我会伤害数据库吗?
浏览 0提问于2014-07-25得票数 0
回答已采纳
3回答
我在我的变量上使用了mysql_real_escape_string(),但在查看我的日志时,我注意到来自某人的输入流,其中的条目如下:
${@print(md5(acunetix_wvs_security_test))}
1\" or (sleep(4)+1) limit 1 --
诸若此类。一大堆人的名单。
他是不是在尝试什么都没发生?或者仅仅使用mysql_real_escape_string()我的代码不安全?
编辑:我看不到任何损坏,但网站上的大多数输入区都被多次尝试过。如果它一次都不起作用,意识到它是安全的,他不会停下来吗?
浏览 2提问于2013-01-27得票数 4
有没有人能清楚地说明在没有凭证的情况下运行nessus扫描有什么不同?如果我在没有凭据的情况下扫描基于unix的系统,同时使用ssh帐户,会发生什么情况?
结果如何differ>,以及在什么情况下,其中一个比其他更受欢迎
浏览 2提问于2011-10-28得票数 0
回答已采纳
通常我只使用对象掩码来设置我需要的内容,现在的掩码有问题吗?我需要获得所有使用Nessus vuln完全扫描的服务器,我只需要服务器的did,最重要的是公共ips,以及扫描每个服务器的时间。
下面是我使用的完整请求
[,hostId,guestid,hardwareId]方法: GET,是不是出了什么问题?
浏览 3提问于2017-08-04得票数 0
我正在尝试获得一个符合pci标准的网站。
如果你访问(虚拟ip):http:someipaddress/ZNYTMHXO.ashx
然后,用户可以正确地看到我在web配置中声明的页面中的html:
但是,如果您使用相同的url,但在查询字符串中使用?aspxerrorpath=/ : http:someipaddress/ZNYTMHXO.ashx?aspxerrorpath=/
然后,页面在'/‘应用程序中显示一个服务器错误。运行时错误。
pci扫描失败。
为什么这个变量会导致问题?
抱歉,我应该声明ZNYTMHXO.ashx并不存在。404重定向在查询字符串中不存在asperror
浏览 0提问于2013-04-12得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
