腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
Checkmarx的
漏洞
扫描
程序
报告
Java
的HibernateTemplate.find()方法易受SQLi攻击
web-applications
、
sql-injection
、
java
我正在使用和开发一个
Java
应用
程序
。当我使用
漏洞
扫描
程序
扫描
项目时,它在HibernateTemplate.find()方法中报告了几个SQL注入
漏洞
。 我该怎么解决这个问题呢?
浏览 1
提问于2014-06-04
得票数 2
3
回答
是否有任何IDE插件可用于在编码时
扫描
?
java
、
eclipse
、
plugins
有像Fortify这样的工具可用,它可以与IDE集成,以
扫描
源代码中的安全
漏洞
。但我期望的是一个像eclipse这样的IDE插件,它可以在输入代码时检查
漏洞
。(对于
Java
程序
,可能每个分号(;)都应该检查
漏洞
)。如果该工具建议在旅途中进行修复,那就太好了。这样开发人员就可以修复
漏洞
,从而修复eclipse中的编译问题。与运行一次完整的代码
扫描
、检查
漏洞
、修复这些
漏洞
并再次
扫描
整个代码库相比,这将大
浏览 4
提问于2009-05-26
得票数 0
3
回答
ESAPI库中是否有验证可以确保veracode SAST
扫描
中不会出现CWE-93
漏洞
?
java
、
validation
、
esapi
、
veracode
、
crlf-vulnerability
我在Veracode平台上对我的代码进行了SAST
扫描
,我在
Java
邮件功能中发现了这个
漏洞
,我正在使用这个
漏洞
从我的应用
程序
发送邮件。以下是即将出现的
漏洞
-- CRLF序列(“CRLF注入”) (CWE ID 93)的不正确中和。请有人帮我重新调解这个问题,这样就不会再出现在
扫描
中了。
浏览 4
提问于2019-07-01
得票数 0
回答已采纳
1
回答
依赖项-检查应用
程序
代码
security
、
maven-plugin
、
owasp
我正在寻找一个解决方案,以实现在构建时应用
程序
代码库的安全
扫描
。其想法是在软件开发生命周期的早期捕获安全
漏洞
列表。我偶然发现(并能够配置) dependency-check maven插件()。然而,尽管它
扫描
依赖jars并提出了一个
漏洞
报告,但它似乎没有
扫描
最终的工件--在我的例子中,这就是.war文件。 如何确保.war
浏览 3
提问于2016-06-27
得票数 0
回答已采纳
1
回答
ASV
扫描
-从外部
扫描
服务期待什么?
pci-dss
我们被要求在我们的服务器中执行
漏洞
扫描
,这些
漏洞
扫描
将使用支付卡处理事务作为符合PCI要求的一项要求。PCI DSS授权这种
扫描
必须由ASV完成。 我应该从这次
扫描
的结果中得到什么?这个
扫描
对应什么类型的
扫描
?像端口
扫描
像nmap
扫描
吗?它像网络服务
扫描
一样像nessus
扫描
吗?它像一个应用
程序
漏洞
扫描
吗?它是五倍的吗?ASV是
浏览 0
提问于2016-03-17
得票数 4
1
回答
Java
存在于系统上,但未安装。这是一个网络安全问题吗?
java
、
mysql
、
security
我目前有一个
java
应用
程序
,它有几个组件,比如mysql。这些组件已经非常过时了。这些组件都在D;/磁盘上,但没有安装在C;/磁盘上(如所示,无法通过控制面板卸载它们)。我已经用nessus
扫描
了系统,但没有发现任何“
漏洞
”,因为组件没有安装。但我确信在我的系统上的
java
版本中有一些
漏洞
。
浏览 0
提问于2019-03-07
得票数 0
2
回答
漏洞
扫描
调度方法随需求变化而变化?
vulnerability-scanners
我有一个关于安排
漏洞
扫描
和评估工作的问题。是否应该在系统/应用
程序
设计或配置发生更改时启动此练习?由于不遵守变更管理协议/
程序
所产生的风险并不是
漏洞
扫描
器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风
浏览 0
提问于2013-01-23
得票数 1
回答已采纳
1
回答
如何在
java
中保护通过httpclient方法发送的密码
java
、
apache-httpclient-4.x
根据SCAVA安全
扫描
工具的报告,我的一些代码行存在
漏洞
。
漏洞
分类如下: Insufficient_Sensitive_Transport_Layer 易受攻击的代码包含发送密码以登录server/api的httpclient.addHeader()方法。应用
程序
使用的是
java
语言。 我从google了解到,我们可以添加一些加密方法来避免这个
漏洞
。如何防止此
漏洞
,并通过某种加密方法以安全的方式传递密码。提前谢谢。
浏览 34
提问于2019-05-15
得票数 0
1
回答
在敏捷和CI环境中可以使用哪些渗透测试工具?
agile-testing
、
security-testing
、
agile
、
open-source
、
penetration
(
漏洞
扫描
器?)项目3--基于
Java
swing的旧“骨头”可以轻松地集成到CI作业中。这个工具有一个很好的测试环境,有许多现成的选项(OpenVAS这里有一个25000的数据库)最好是开放源码开源解决方案好到很好的结果在领域
浏览 0
提问于2019-02-20
得票数 2
1
回答
OpenVAS --它如何知道是否打开了一个SQL
漏洞
?
openvas
我正试图在web应用
程序
中故意打开一个SQL
漏洞
,看看OpenVAS是否会发现它。我有一个简单的NewsPost模型,我已经创建了一个路径,将响应上述网址在我的网络应用
程序
但出于某种原因,OpenVAS
扫描
没有检测到在我的Rails web应用
程序
中易受攻击。 所以我想知道,OpenVAS是如何确定它是否脆弱的?
浏览 0
提问于2019-11-21
得票数 1
1
回答
Kubernetes
漏洞
扫描
程序
security
、
kubernetes
我正在寻找将
漏洞
扫描
器与K8s集成的选项。在创建部署时,
扫描
器将
扫描
docker图像/容器,并通过json或yaml传递结果。有没有开源的
扫描
器?
浏览 0
提问于2020-09-29
得票数 2
1
回答
如何在zapproxy
扫描
中删除与指定url相关的所有资源?
java
、
zap
、
zapproxy
我正在使用的
java
客户端应用
程序
接口来自动和动态地检测许多网站的
漏洞
。我需要释放指定url的所有资源(警报、爬虫结果、活动
扫描
结果、内存使用情况),并且不干扰其他url的
扫描
。那么,如何在zapproxy
扫描
中删除指定url的资源呢?
浏览 17
提问于2016-06-12
得票数 0
2
回答
漏洞
扫描
与模糊web应用
程序
vulnerability-scanners
、
web-scanners
、
fuzzing
在web应用
程序
的上下文中,
漏洞
扫描
是否是一种形式的模糊?Wikipedia将模糊定义为“向计算机
程序
的输入提供无效、意外或随机的数据”。Web应用
程序
漏洞
扫描
器发送无效的意外数据,以识别SQL注入或跨站点脚本等
漏洞
。
浏览 0
提问于2016-05-29
得票数 1
回答已采纳
2
回答
消除ASP.NET上的OS注入攻击
漏洞
asp.net
、
asp.net-mvc
、
security
我在一个应用
程序
上工作,在代码发布到生产之前,Burp工具会对其进行
扫描
。最近的
扫描
导致了操作系统注入攻击
漏洞
。 在做研究时,我看到的唯一的OS注入攻击的例子是unix,
java
,php应用
程序
。这些攻击可能针对的是ASP.NET应用
程序
吗?如果是这样,您如何减轻这种风险?ASP.NET (和/或MVC)本身能防止OS注入攻击吗?
浏览 5
提问于2017-01-31
得票数 1
1
回答
NEXUS生命周期是否支持红宝石?
nexus
、
sonatype
我想知道我们是否能够使用sonatype nexus lifecycle for ruby gems进行安全
漏洞
、许可和版权
扫描
。请澄清。
浏览 1
提问于2018-04-12
得票数 0
回答已采纳
2
回答
Web应用
程序
漏洞
扫描
-假阳性-识别和消除
web-application
、
vulnerability-scanners
Web应用
程序
漏洞
和潜在的假阳性 作为渗透测试器,应用
程序
漏洞
扫描
是任何渗透测试方法的重要组成部分。在应用
程序
扫描
阶段,可能会出现几种不同类型的
漏洞
。主要是..。SQL注入/盲目SQL注入、跨站点脚本/持久性跨站点脚本、命令注入、XPath注入、SOAP/AJAX攻击、CSRF/HTTP响应拆分、任意文件上传攻击、远程文件包括(PHP代码注入)、应用
程序
errors使用
扫描
仪时
浏览 0
提问于2014-10-15
得票数 1
2
回答
如何传递与失去支持的软件相关的风险?
known-vulnerabilities
、
patching
在哪里或者怎样才能找到一个没有补丁的操作系统的安全
漏洞
列表呢?我想确定我可以告诉服务器所有者在过时的操作系统上的实际风险。我可以得到所有CVEs的列表,但是我无法筛选补丁状态。
浏览 0
提问于2016-06-30
得票数 3
回答已采纳
3
回答
在ubuntu12.04LTS上将Apache升级到2.2.23
apache2
我们使用Apache2.2.22在运行Ubuntu12.04LTS的服务器上进行了PCI
扫描
。
扫描
报告在Apache2.2.22( LD_LIBRARY_PATH
漏洞
中的apache长度目录名称)中报告了一个
漏洞
,.The报告状态是将版本升级到最新的稳定版本2.2.23或2.2.24。如何升级到2.2.23以修复该
漏洞
,或者是否有可用的修补
程序
可以修复此
漏洞
,如果可以,请告诉我如何修补该
漏洞
。
浏览 0
提问于2012-11-06
得票数 4
1
回答
Web应用
程序
漏洞
appsec
我的VM
扫描
器已通过经过身份验证的
扫描
检测到以下
漏洞
,请参阅下面。📷
浏览 0
提问于2017-11-01
得票数 0
回答已采纳
1
回答
Web应用
程序
安全
漏洞
管理
web-application
、
vulnerability-scanners
、
opensource
有人知道管理Web应用
程序
安全
漏洞
的方法吗?我正在寻找一个工具,可以集成硒和或打嗝。我想要一遍又一遍地做测试。在应用
程序
中,我们需要在应用
程序
中的某个点来利用某些
漏洞
。
浏览 0
提问于2016-01-07
得票数 -2
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
开源的安全漏洞扫描程序Vuls
热门应用程序“扫描全能王”出现安全漏洞
WEB漏洞扫描原理
容器安全-镜像漏洞扫描
热门应用程序“扫描全能王”出现安全漏洞,速速卸载!
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券