2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的<
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险
浏览 0提问于2018-12-23得票数 6
扫描结果表明,我们的网站有很高的代码注入的严重性。它提供了以下证据:📷该应用程序似乎将用户输入作为代码进行评估。它被指示睡眠0秒钟,并观察到响应时间为1.1369998455秒,然后被指示睡眠10秒,从而导致响应时间为15.8949999809秒(我并不是专门从事网络安
浏览 0提问于2020-05-16得票数 2
回答已采纳
2回答
Java网络?
、、
首先,在我问之前,我想指出这个问题是关于教育的。我想知道如何扩展我对Java和网络安全(仅有的一点)的理解。
如何将Java用于网络安全和反攻击?我使用服务器/套接字已经有一段时间了(用于非系统安全的东西),但我不太明白我在做什么。当然,我应该学习网络,但是从哪里开始呢?每件事都有一个协议,见鬼,有协议就有协议。我想更恰当地表达这个问题;有谁知道什么好的来源,我可以看看更深入地了解/研究Java是如何处理网络安全、
浏览 3提问于2011-05-11得票数 5
回答已采纳
2回答
我从一个巨大的软件供应商那里发现了一个bug。作为任何其他负责任的用户,我已经向软件提供商报告了这个错误。不管我对bug的发现或解释如何,它让我思考:如何系统地确定软件错误是否应该被标记为“安全缺陷”?
浏览 0提问于2017-01-11得票数 2
回答已采纳
1回答
我是一个内部开发团队的一员,该团队提供我们公司在世界各地的工厂使用的软件,用于生产和订单管理,并使站点能够通过广域网彼此共享数据。我最近受命在4个月内完成以下目标:因此,我的问题是:我应该如何最好地分析企业软件系统及其
浏览 0提问于2014-03-21得票数 1
回答已采纳
2回答
我正在考虑使用.link gTLD创建一些链接,但我不确定是否可以信任新的gTLDs,因为这些页面至少要持续2-4年。到2015年初,新的gTLDs有多稳定,这是否值得关注?例如,.link由一家名为统一注册表的公司管理。这家初创公司的稳定性与我在.link gTLD上托管的网站的稳定性有关吗?新的gTLD被认为不太稳定吗?
浏览 0提问于2015-04-03得票数 3
我们为用户提供了密码重置功能,它或多或少成功地遵循了特洛伊亨特( Troy )在这篇文章中概述的指导方针,除了一个主要的例外,我们还有一个薄弱的链接:
我们有一个管理门户,其功能是生成一个临时密码,并在屏幕上显示给为了明确起见,管理员还可以代表用户请求密码重置电子邮件(并发送到用户的注册电子邮件),但这是从未使用的。我们有很多不太懂计算机的用户,他们中的一些人很难自己创建/重置密码(尽管在用户输入新密码之前,密码要求是明确的)。为了使他们<e
浏览 0提问于2018-01-05得票数 3
回答已采纳
1回答
我正在开发的web应用程序应该是端到端加密的,但是为了稍微好一点的用户体验,我不希望用户向客户端输入私钥。其中一个风险是,用户使用相同的密码进行登录和私钥加密,从而使应用程序不再进行端到端加密。
你对此有何看法?(为了避免这种
浏览 0提问于2016-04-23得票数 0
我正在建立一个私人网络应用程序,我计划在我和几个精选的朋友之间使用。我们每个人都有第三方服务的API密钥,我的web应用程序需要访问这些服务,这样它就可以调用第三方服务API,并返回我们希望一起评估的数据。因为这是一个私有/静态的web应用程序,我不觉得需要将这些密钥存储在数据库中,我希望将这些密钥直接存储在我的web服务器上。
如果我走这条路,主要的安全风险是什么?我是否应该考虑在我的web服务器磁盘上加
浏览 0提问于2018-02-11得票数 4
作为一家SaaS供应商,我们希望符合我们新加坡潜在客户的要求。新加坡金融管理局授权每年对新加坡金融机构的数据中心进行TVRA (威胁和脆弱性风险评估)。要进行TVRA,是否有必要亲自访问数据中心,或者我们是否可以向我们的定位中心发送一份关于DC使用的物理安全控制的问卷,并回顾其答案和证据?一般的行业标准是什么?
浏览 0提问于2018-07-19得票数 1
这个软件是用COBOL编写的,运行在大型机上,只有一个入口点。该系统的目标是通过进行风险评估来评估潜在客户。它以一些客户信息(如SSN、名字和姓氏)为参数,询问一些公私实体的商业背景,运行风险策略并给出意见。POST mysoftwareapi/v0/evaluate
将客户数据嵌入到HTTP主体中。但
浏览 6提问于2017-08-04得票数 0
渗透测试是否可以被视为详尽的漏洞管理计划的一部分?P.S:我明白渗透测试和漏洞评估之间的区别。但我想知道两者是否都属于漏洞管理的保护伞?
浏览 0提问于2013-05-01得票数 5
回答已采纳
如果这些因素返回一些不好的东西,用户可能会停止在那里,因为他们有他们需要的,以作出决定的承运人。因此,关键因素将有一个初始调用/返回,然后是一个更深入的调用/返回,用于评估用户对问题的响应。我期望返回一个整数风险评分,这样我就可以给用户一个“高/中/低风险”以及个人建议,以帮助做出一个明智的决定。:GetCarrierRisk调用了一些东西,这样它就可以评估初始风险</
浏览 0提问于2015-06-27得票数 3
回答已采纳
3回答
我所在的公司正在评估不同的风险分析解决方案来购买,但其中一位安全人员引入了这个想法,真正构建我们自己的内部平台/引擎。你必须创建自己的算法吗?是
浏览 0提问于2017-03-26得票数 4
4回答
我还没有找到任何好的人身安全措施来保护这些装置。我有什么选择?如果有人处于类似的情况,你会用什么?对Mike Ounsworth的ssd.eff.org/en/模块/评估你的风险的答案有一个以上的对手,他们的资源是中等到高。如果没有足够的安全,他们很容易进入保险箱和锁。风险是肯定<em
浏览 0提问于2018-10-14得票数 0
1回答
我是网络安全方面的学徒,我被分配到研究OSSIM的任务。当我把我的问题带到堆栈交换大师面前时,请容忍我的无限无知。到目前为止我所知道的:一旦安装,安全管理员就可以很容易地观察所有与风险相关的进程。我需要的物理硬件。我被告知我需要3张网卡(NIC
浏览 0提问于2014-12-09得票数 -1
1回答
我正在探索系统影响风险评估和缓解计划,在一个区块链(如-Ethereum)硬叉子。( 2)新分叉链上是否也有完整的状态数据(沿系统事件日志数据)?3)如果是,我们是否也得到了两个链上每个智能契约的完整状态?答:我相信,是的,他们的用户应
浏览 0提问于2019-03-18得票数 0
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
云直播
腾讯云开发者
