我认识一家电子商务公司,它有一个面向公众的网站,比如www.app.com,它的网页是www.app.com/version.jsp,也可以公开访问。该页具有以下信息。
Build Info
Path: /root/version/app/v5.6/b10
Server: appUSA-prod-srv1
Date: 09/10/2017 6:21 AM
Source: svn@svn
CI: Link (this leads to an internal link which is inaccessible to public)
Gradle is used in n
浏览 0提问于2017-09-28得票数 1
2回答
我目前的理解是,利用工具可以对系统进行指纹识别(收集信息),根据漏洞数据库检查这些细节,然后尝试使用相关的漏洞。
我可以看到使用JS检查安装的Flash版本的简单方法,但这是很容易防御的(因为用户可以停止、修改或转移到JavaScript )。
当用户找到进入漏洞工具包登陆页面的方法时,还使用了哪些其他技术来收集用户的信息?
例如,如果您登陆我的网页,它将如何发现您正在使用的Adobe版本或安装了哪些浏览器插件?
浏览 0提问于2017-11-10得票数 10
1回答
恶意软件扫描网站代码?
、、、、
我有多个使用工具扫描的Linux CentOS服务器,当它在我的服务器上发现一些恶意代码(共享/专用)时,这些站点的排名就会下降。
我正在寻找的是一个服务器扫描仪,扫描.php,.js文件和类似的恶意软件代码,这样我就可以在谷歌降低该网站排名之前做出反应。
我已经找到了一个php恶意软件扫描仪(nbs-system/ PHP -恶意软件-查找器:检测潜在的恶意PHP文件),还在努力使它工作,但我想找到一个更完整的解决方案,以提高我的服务器的安全性。
有服务器/网站特定的恶意软件扫描器吗?
注意:不是寻找成熟的杀毒产品,而是寻找一种,最好是开源的,扫描网页代码的恶意软件扫描仪,而不是.exe,.
浏览 0提问于2016-05-17得票数 6
回答已采纳
在我朋友的授权下,我正在测试他的网站是否存在潜在的漏洞。
我试图找出是否能够将SQL查询注入POST请求参数hi' or 1=1 --。
query=hi'%20or%201%3d1%20--
我发现文件打印出来了:
<div class="error">index job,query: syntax error, unexpected '-' near '-'</div>
在使用' or 0=0 --时,我得到:
<div class="error">index job
浏览 5提问于2020-01-18得票数 0
1回答
所以几天前,我在我的Fedora工作站上注意到了PC风扇速度的新模式。有时,一些球迷会开始比平常稍微快一些,并且会继续旋转大约30秒到一分钟。这发生在非常轻的个人电脑使用场景,如网页浏览,pdf阅读.我已经注意到了,因为我从来没有能够真正听到风扇在我的电脑在如此轻的使用场景。
无论如何,这可能是由无数的事情造成的,但作为一个基本的理智检查,我想排除恶意软件。所以我做了一件事:
检查in传感器,在CPU和GPU风扇中确实有小尖峰(~100-150 CPU)。
运行扫描
使用ps和top检查进程树是否有可疑条目
使用netstat检查打开的tcp/udp端口是否有可疑条目。
检查cron/anac
浏览 0提问于2021-03-22得票数 1
4回答
假设Network /IDS可以检测到漏洞,但是应用服务器本身仍然容易受到该漏洞的攻击。
如果我修改了利用的代码,是否还有IPS/IDS仍然会检测到这种攻击?
浏览 0提问于2012-07-23得票数 2
回答已采纳
我有一个Web视图加载为模式视图。我有内存泄漏后加载网页使用以下代码。
[myView loadRequest:[NSURLRequest requestWithURL:[NSURL URLWithString:url]
cachePolicy:NSURLRequestReloadIgnoringLocalCacheData
timeoutInterval:30]];
我的dealloc方法如下:
- (void)dealloc
{
myView.
浏览 0提问于2010-10-05得票数 0
回答已采纳
我知道服务器有一些东西可以阻止您仅仅向它们发送一个HTTP请求(实际上是恶意软件)或一个恶意的网页,因为只发送带有恶意软件的HTTP请求是非常容易的。red使用了比它更高级的东西,它使用Ns发送HTTP请求。另外,我想知道是否有些服务器没有这个补丁?
浏览 0提问于2021-02-17得票数 1
2回答
我正在学习关于网络安全和如何处理SQLmap的知识。一个朋友在他的服务器上制作了一些演示网页来测试SQLmap。其中一个页面是一个假的钓鱼网站,它引用了一个真实的站点(index.asp?ref=REALSITE)。
如果我用引用者参数扫描假钓鱼网站,我会无意中扫描引用的站点吗?
浏览 0提问于2015-11-23得票数 0
1回答
我有个关于恶意软件的问题。恶意软件通过攻击向量攻击机器。当它渗入机器时,它“释放”有效载荷。现在,假设我感染了一种病毒,它是在我不知情的情况下通过互联网网页(或者弹出或其他)下载和安装的。
因此,攻击矢量是传递方式,有效载荷是实际恶意软件。函数/方法的名称是什么,它发起病毒的转移(从网页)?
为了详细说明,根据我的理解,一个人实际上被恶意软件感染,必须有三个步骤的过程。我不知道第一步的术语。
主要指标1=?
副翼2=攻击向量
3.有效载荷
步骤1启动攻击向量。即。它检测FlashPlayer的漏洞。
恶意软件感染包括三个步骤,是吗?
浏览 0提问于2016-07-05得票数 0
回答已采纳
5回答
我正在开发一个网站,我正在使用yslow来分析速度和统计数据,网页开发人员的html和css验证等。
我可以使用什么来检查安全错误?
浏览 7提问于2010-02-11得票数 1
回答已采纳
在网页上隐藏异常有真正的理由吗?我可以理解隐藏不会吓到用户,但在我开发的网站上,并不担心会吓到用户。我想,如果你有SQL注入漏洞,隐藏异常实际上并不重要。
那么,人们可能有什么理由对用户隐藏网页上的异常呢?
浏览 2提问于2010-10-17得票数 2
有很多关于贝类攻击漏洞的帖子。我能很详细地理解这个漏洞。
然而,我很好奇为什么任何入侵检测系统或基于主机的工具(例如防病毒系统)都无法检测到它?
一些答案可能包括Snort没有适当的签名,但至少应该有一些其他的症状,即网络管理员应该理解网络中正在发生的异常情况,例如HTTP用户代理字符串不同(基于主机的解决方案检查对吗?),出站流量可能会异常增加,或者but服务器上的进程或内存使用量会比通常的边界增加。
PS:这个问题是关于易受贝类攻击的网络服务器的。我的意思是说,在短时间内,攻击者就会试图发动攻击。
浏览 0提问于2015-01-14得票数 1
1回答
如何利用npm审计?
、、、、
TLDR:是否有可能利用npm audit的漏洞检测功能作为restful服务而不是当前的CLI实现?
npm提供针对(NSP)漏洞数据库的每个安装请求的自动漏洞扫描,如果您尝试使用不安全代码,则警告您。此外,npm audit递归地分析依赖树,以明确哪些是不安全的,推荐替换,或者使用npm审计修复自动修复它。
这个功能很棒,我希望能够在web应用程序中利用这种漏洞扫描功能。那我为什么要这么做?
似乎大多数公司都拥有一个内部JFrog存储库,它需要不断更新和维护,以反映。然而,一种更有效的方法(在我看来)是创建一个简单的web应用程序,其中嵌入了。这样,这个web应用程序将更像一个代理,并允许
浏览 3提问于2019-06-21得票数 8
回答已采纳
我想做两件事:
向我的同事演示xss漏洞并演示如何修复它们。
检查一些工具是否能够检测到漏洞
为此,我需要一个在ASP.NET MVC中更好的示例web应用程序,它具有最常见的漏洞。这样的样点已经存在了吗?
浏览 3提问于2013-03-15得票数 1
回答已采纳
作为我工作的一部分,我定期测试web应用程序的漏洞。当涉及到SQL注入时,我的方法是从手动浏览网站开始,然后将我怀疑与数据库交互的参数发送到SQLMap。
现在,我想知道这是否是寻找SQL注入的正确方式?SQLMap是否能够找到大多数类型的SQL注入,或者我是否应该求助于手动测试?
浏览 0提问于2016-05-16得票数 8
1回答
有一个软件,我们称之为反恶意软件,它使用启发式来检测某些类型的攻击。然而,有一个非常简单的保持在它的雷达之下。我可以在哪里报告这种“剥削”?它不需要在运行时修补任何东西,也不需要与该软件进行任何交互,所以我并不认为它是一个漏洞,只是他们忽略了一些漏洞。我该在哪里报告?这符合CVE的条件吗?
浏览 0提问于2019-09-13得票数 0
回答已采纳
我准备启动一个小的网络应用程序,并决定扫描该网站与Acunetix漏洞扫描器。大多数情况下,我对结果都很满意,但是扫描仪在主机头的设置中报告了一个高级别的安全问题。扫描仪提供以下链接以获取更多信息( http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html )
据我所知,如果您使用主机头来生成URLs,无论是插入到发送的电子邮件中的urls,还是插入到页面中的urls,都会出现漏洞。
我是否正确地认为,这不是一个web应用程序的问题,而不是使用主机头创建urls的任何方式?
浏览 0提问于2013-09-19得票数 1
2回答
我知道恶意软件可以通过下载和运行东西来获得,但是否真的有可能仅仅查看网页或点击链接并获得链接呢?
假设只使用Firefox / Chrome,只使用Flash插件。
也许我应该把这个问题改写成这样:在过去的几年里,在Firefox、Chrome和Flash插件中发现了多少驱动病毒?
浏览 0提问于2012-07-30得票数 28
回答已采纳
2回答
有什么方法可以编程地检测AndroidO.S中的漏洞?这会导致DoS、代码执行、溢出、内存损坏等攻击。
我不想知道如何执行上述攻击,而是想知道如何通过编程验证执行上述攻击所需的缺陷是否存在于用户的O.S .中
浏览 3提问于2015-04-29得票数 2
1回答
我添加了-Dio.netty.leakDetection.level=ADVANCED,用于生产中的泄漏检测。还有一些原木:
错误io.netty.util.ResourceLeakDetector -泄漏:在垃圾收集之前没有调用ByteBuf.release()。有关详细信息,请参阅。警告:由于泄漏记录计数限制在4,因此4条泄漏记录被丢弃。请使用系统属性io.netty.leakDetection.maxRecords来增加限制。最近查阅记录:5
这是否意味着它一定会发生内存泄漏?
我想在本地环境上测试它,所以我设置了-Dio.netty.leakDetection.level=PA
浏览 1提问于2017-04-28得票数 6
1回答
我正在使用Mike的出色的blockUI jQuery插件,但我似乎在IE7中遇到了一个问题(是的,公司的浏览器选择.)每个块的使用都会给进程增加大约25 go的内存,而且似乎永远不会消失。正常情况下,这不是一个问题,但是页面至少每分钟使用一次这个块,并且不需要刷新就可以一整天在屏幕上显示。
我用sIEve测量了这个值,通过打开或关闭插件,我每次都能得到这么多的数据。用2.36和最近的2.44试过。
有没有人见过这种行为,或知道有什么好办法或地方可看?
编辑:按照sergio关于尝试JS泄漏检测器的建议(给出了sIEve没有的堆栈跟踪),我已经确定这个问题位于第241行:
$(el).data
浏览 1提问于2012-09-10得票数 1
回答已采纳
最初的问题是:
我们的开发人员通过使用HttpUtility.JavaScriptStringEncode在javascript中编码字符串来解决这个问题。在使用OWASP对参数进行模糊处理之后,结果列表中仍然有几个(反射的)黄色球。在黄色球中单击该项目,响应中的突出显示是,例如:
DataSet.FilterBuilder.QueryValuesDictionary'57_ctl00‘=“警报(1)”;
正如您所看到的,受攻击的代码只是一个简单的字符串,不被执行。我们是否可以说我们现在是安全的,而这只是一个假阳性?
浏览 3提问于2015-04-12得票数 1
回答已采纳
1回答
simjacker.com看起来是SIM卡的一个相当严重的安全问题。不过,他们的网站上没有太多的技术细节。很高兴能知道哪些西姆斯是脆弱的。
不幸的是,S@T技术规范在我看来并没有多大帮助。
有没有一种简单的方法可以知道SIM是否易受攻击?
浏览 0提问于2019-09-13得票数 9
我想安装迪奥那厄,但我不确定它收集现代恶意软件的能力。我看到它使用了旧的漏洞模块。我的问题是:
1)可以添加新的漏洞模块? 2)添加漏洞的步骤是什么?(从一开始,包含从哪里获取漏洞)
浏览 0提问于2016-05-20得票数 0
回答已采纳
4回答
在缓冲区溢出漏洞开发的上下文中,有人问我:
Discuss how your exploit may be modified to evade an Intrusion Detection System.
我没有要求我做作业,但在使用了我最好的Google之后,我唯一能找到的答案就是使用编码器(比如shikata_ga_nai)。
在开发中是否还有其他方法来规避IDS?
鉴于当时的情况,这似乎不太可能是我唯一应该讨论的事情,但正如我所说,在花了一个晚上的时间之后,我找不到其他的东西了。
浏览 0提问于2015-03-15得票数 9
1回答
在最近的关键漏洞:'MS12-020:远程桌面中的漏洞可能允许远程代码执行‘之后,我一直在寻找一个强化的检查表,或者在我是一个允许远程桌面访问的组织的管理员的情况下,除了传输层安全性之外,禁用它的原因是什么或者如何安全地实现它呢?
浏览 0提问于2012-05-15得票数 1
2回答
我听说Google删除了隐身浏览的检测功能,所以我要求用其他方法强制我的用户使用隐形模式,而不是正常的浏览,以避免在React JS中截图。有没有办法要求用户使用匿名模式来浏览我的web应用程序?
浏览 4提问于2021-10-21得票数 2
2回答
我在安全测试方面很新。
如果有人能建议使用JSON请求的REST上运行安全问题扫描(E.GSQLInjection)的开源/免费工具,这将是非常有用的。
一些服务也使用OAUTH。
谢谢
浏览 0提问于2016-06-20得票数 3
我想知道git提交元数据是否能够揭示潜在的风险信号或漏洞。
Hinnefeld已经对此进行了调查,这里,但是这似乎是一种检测其他开发人员已经发现的漏洞的方法。
有人能想象单靠元数据如何才能检测到以前从未发现过的漏洞吗?
浏览 0提问于2020-08-10得票数 0
1回答
模式匹配可以跨越TCP数据包吗?
、、、、
我是入侵检测系统的新手。据我所知,模式匹配(例如,Snort中的PCRE )似乎只匹配数据包中的搜索。
可以跨数据包进行模式匹配吗?
在实践中,人们关心跨包模式吗?
浏览 1提问于2015-08-20得票数 0
回答已采纳
由于GDPR,我们正在寻找一种方法来帮助我们从生产SQL Server中识别恶意活动或数据破坏。
看来,如果我们使用Azure,这是一个开关。
什么是在前提服务器上可用的?
浏览 0提问于2018-02-01得票数 4
1回答
智能契约中漏洞检测的可行性
、、、、
我很兴奋地发现,哪一个更适合在ethereum智能契约(Solidity)中检测漏洞:源代码还是ByteCode ?原因是什么?
浏览 0提问于2022-10-18得票数 0
回答已采纳
2回答
apache安全性
、、、
我需要使用facebook应用程序,但我的网页返回响应206而不是200,因此facebook应用程序返回http代码500。
我使用进行了测试,当它们是相同的curl -I响应数据时,返回206而不是joomla.it返回200
我用这个perl脚本进行了测试:,我的页面是易受攻击的,而joomla.it是好的。
我认为我的答案在和之间非常接近
但我不明白如何更改我的apache配置。解决方案可以在这个页面中找到:使用类似代码的www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35.2:
SetEnvIf Range (,.*
浏览 1提问于2012-06-26得票数 1
回答已采纳
我在安卓的WebView中显示一个网页。该页面包括一个来自Vimeo的嵌入式视频。
但是当我试图在WebView中显示页面时,视频区域显示为空白。在日志中,我看到以下日志:
W/VideoCapabilities:未识别的视频/hevc配置文件4
W/VideoCapabilities:未识别的视频/avc配置文件2130706433
当使用Chrome打开网页时,视频显示得很好。
浏览 0提问于2019-06-07得票数 1
回答已采纳
1回答
我想要创建简单的网页(HTML等)并提供一个按钮,点击按钮,它触发“亚行设备”通过命令提示符,并获得答案,并打印在网页上。
有可能吗?我环顾四周,发现人们在HTML中使用JavaScript调用cmd.exe并执行一些命令,但只在Internet中。
感谢有人引导我通过简单的例子,它可以运行在Chrome/Firefox浏览器上。
谢谢,
浏览 3提问于2018-09-07得票数 1
回答已采纳
情境::我现在的网页主机今天给了我一个全新的VPS,PHP5.2.9(发布日期:2009年2月)。
我所做的:我要求我的web主机将它升级到最新的PHP5.3.5,这样我就可以修复所有的安全漏洞。
什么网站主机回答:不,你不应该。您的PHP脚本将中断。相反,您可以使用PHP 5.2.17。
我的问题:我应该强制我的网页主机在我的VPS上安装PHP5.3.5吗?通过升级我可能会遇到什么问题。我目前不使用任何PHP5.3特性,但将来可能会使用这些特性。我主要关心的是从已知的漏洞中获得完全安全。
请不要结束这个问题。它与编程没有直接关系,而是与PHP有关,我想只有PHP专家才能回答。
浏览 13提问于2011-01-22得票数 4
回答已采纳
2回答
在伪技术之前,有许多下面的例子。但无论出于什么原因,我都看不到Safari和Chrome的标记。有人知道怎么回事吗?
CSS
a:visited:before {
content: "\2713 ";
}
网页内容
<a href="http://www.microsoft.com" target="_blank">is a link</a>
浏览 2提问于2014-04-27得票数 2
回答已采纳
如果我想测试一个web应用程序。
对于哪些类型的漏洞不能扫描应用程序扫描仪,哪里不能应用程序扫描器扫描(例如。在什么财产上)它的“力量”最多?
像Vega,Nikto,Burp这样的扫描仪。
浏览 0提问于2020-03-03得票数 1
1回答
我正在试着用waf运行valgrind。命令是./waf -- command -template="valgrind %s“--run program-name。
我收到valgrind的内部错误。如果连valgrind都失败了,我还能尝试什么呢?
--6446-- VALGRIND INTERNAL ERROR: Valgrind received a signal 11 (SIGSEGV) - exiting
--6446-- si_code=80; Faulting address: 0x0; sp: 0x40b3c9df0
valgrind: the 'impo
浏览 1提问于2012-07-09得票数 0
我制作了简单的tryItYourself类型codeEditor。进入文本区域,我编写代码。当单击按钮renderCode时,代码将在它旁边的div中呈现。但是,每当我在文本编辑器中使用<script>标记时,它都不会呈现标签中的任何内容。
这是密码。
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title>Untitled Document</title>
<style>
#area {
width: 48%;
浏览 5提问于2015-08-13得票数 0
回答已采纳
1回答
有一些关于字体的内核漏洞和CVEs (例如味精11-087和CVE-2017-8682)。还有一些恶意软件运动,比如在docx文件中的字体中使用零日的杜库。
我不知道用嵌入式/链接字体和图像打开PDF和其他文档文件是否安全(大多数PDF文件都嵌入了PDF文件,大多数网页都有图像,其中很大一部分使用站点提供的字体)。我的意思是,如果现代观众把这类东西传递给操作系统和内核,或者他们在自己的进程中使用一些库来处理纯粹的用户格式,那么哪一种呢?
浏览 0提问于2018-02-03得票数 1
为了提高网络的安全性,我们计划在防火墙中添加Snort。除了保护不受恶意流量的影响外,还可以定制Snort,以便根据我们的需要检测和阻塞特定的通信量。因此,基本上,我将为Snort编写规则,以满足我们的特定需求。但在开始之前,我需要使用漏洞扫描工具来了解Snort -防火墙组合目前没有检测到的漏洞,然后我可以开始为这些漏洞编写Snort规则。考虑到我的情况,我能为正确的工具提出建议吗?我只知道几个名字,比如Nessus,Metaslpoit,OpenVAS,nmap.
浏览 0提问于2012-05-18得票数 2
回答已采纳
1回答
我不太熟悉安全和恶意软件分析,但我知道理论上有可能将恶意软件嵌入到诸如视频、音频等文件中。
假设有人设法将恶意软件嵌入到mp4文件中并通过gmail发送。
我有以下问题。
是否容易绕过在gmail中实现的google安全,这样gmail就不会检测到它是病毒/恶意软件?
一旦下载了视频,如何检查它是否包含恶意软件/病毒(除了使用virustotal.以外的其他方法)?
恶意软件是否有可能感染多个操作系统(Windows和Linux:主要是Ubuntu)?
浏览 0提问于2020-03-09得票数 13
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
