1回答
由于我有不同的项目,具有不同的开发环境,所以,当然,我使用的渗透工具对我来说很重要。项目1是一个纯web项目,只供一个客户使用。(漏洞扫描器?)项目2是一个纯网络项目,带有互联网连接(漏洞扫描器?)对我来说很重要:时时刻刻尤其是在Java环境下运行的
浏览 0提问于2019-02-20得票数 2
我在Veracode平台上对我的代码进行了SAST扫描,我在Java邮件功能中发现了这个漏洞,我正在使用这个漏洞从我的应用程序发送邮件。以下是即将出现的漏洞-- CRLF序列(“CRLF注入”) (CWE ID 93)的不正确中和。请有人帮我重新调解这个问题,这样就不会再出现在扫描中了。
浏览 4提问于2019-07-01得票数 0
回答已采纳
在哪里或者怎样才能找到一个没有补丁的操作系统的安全漏洞列表呢?我想确定我可以告诉服务器所有者在过时的操作系统上的实际风险。我可以得到所有CVEs的列表,但是我无法筛选补丁状态。
浏览 0提问于2016-06-30得票数 3
回答已采纳
3回答
有像Fortify这样的工具可用,它可以与IDE集成,以扫描源代码中的安全漏洞。但我期望的是一个像eclipse这样的IDE插件,它可以在输入代码时检查漏洞。(对于Java程序,可能每个分号(;)都应该检查漏洞)。如果该工具建议在旅途中进行修复,那就太好了。这样开发人员就可以修复漏洞,从而修复eclipse中的编译问题。与运行一次完整的代码扫描、检查漏洞、修复这些漏洞并再次扫描整个代码库相比,这将大大减少开发人员的时
浏览 4提问于2009-05-26得票数 0
我正在使用和开发一个Java应用程序。当我使用漏洞扫描程序扫描项目时,它在HibernateTemplate.find()方法中报告了几个SQL注入漏洞。
我该怎么解决这个问题呢?
浏览 1提问于2014-06-04得票数 2
我正在考虑对metasploit中的漏洞发起广泛的nessus扫描(在"IP范围“中)。这样做的目的是限制插件的数量,以便扫描在合理的时间内完成。(顺便提一下,nessus 5.0附带了一组过滤器,允许选择例如“关键”漏洞,但是,这对我来说是无法理解的,不可能保存这样的配置,即。如果您想要捕捉最新的漏洞,则必须在每次扫描之前手动完成此操作)
从本质上讲,这将是一项将nessus中的相关插件与metasploit中当前的漏洞列表相匹配的练习。我
浏览 0提问于2012-04-10得票数 0
1回答
我正在寻找一个解决方案,以实现在构建时应用程序代码库的安全扫描。其想法是在软件开发生命周期的早期捕获安全漏洞列表。我偶然发现(并能够配置) dependency-check maven插件()。然而,尽管它扫描依赖jars并提出了一个漏洞报告,但它似乎没有扫描最终的工件--在我的例子中,这就是.war文件。
如何确保.war也被扫描<
浏览 3提问于2016-06-27得票数 0
回答已采纳
1回答
在具有Nessus的Linux/Unix服务器上执行经认证的漏洞扫描,在端口tcp/0上发现数千个漏洞。
IANA预留端口(tcp/0)如何处理流量?这些漏洞是对的还是假的?如何对端口tcp/0下显示的漏洞进行补救?
浏览 0提问于2018-02-03得票数 12
回答已采纳
3回答
SonarQube是一个很棒的静态代码分析工具,但我注意到“漏洞”类型只有几条规则(“漏洞”等于“安全”,对吗?)我计划扩展一些自定义插件,包括许多漏洞规则(可能有数百条针对C/C++、Java和SonarQube支持的其他语言的规则)。(我不确定Sonar Scanner是否适合扫描安全问题)
非常感谢!
浏览 5提问于2017-11-24得票数 6
1回答
即使已启用容器扫描API并启用了对Artifact的漏洞扫描,但未扫描新推送的图像。按需扫描结果也不会出现在中。还有什么需要我启用的吗?
浏览 2提问于2022-08-10得票数 0
1回答
作为一个安全人员,我运行漏洞扫描并发现防火墙中的漏洞,如下所示: SSL Server允许匿名身份验证解决方案解决方案:禁用对匿名身份验证的支持。1) Apache:对于Apache/mod_ssl,httpd.conf或ssl.conf通常应该有以下几行:
我的问题是谁必须修复这个漏洞: FW管理员还是执行扫描的安全人员?
浏览 0提问于2014-10-30得票数 0
回答已采纳
1回答
我试图通过jenkins使用依赖检查插件对sonarqube进行依赖检查。我能生成报告。但它没有显示在声纳的弱点部分。上面写着有0处漏洞。我还在sonarqube服务器上安装了依赖项检查插件。但我需要显示漏洞选项卡。以下操作如下在jenkins at Post 节调用依赖检查 --project sample --scan target/*.war --format HTML at Execute声呐扫描仪sonar.propertiessonar.java.binaries=target&#
浏览 34提问于2022-02-04得票数 1
3回答
您的公司如何跟踪在接收漏洞扫描报告和修补漏洞之间发生的漏洞管理信息?在稍后的日期,您进行另一次扫描(扫描B): Vuln 2 Vuln 4
将漏洞信息与补救决定(无论是否进行补救)一起放入大型主电子表格中,并手动更新它将允许您跟踪漏洞决策,因此您不会不断地从扫描到扫描重新评估相同的漏洞(在上面的示例中是第2和第3种漏洞)。是否
浏览 0提问于2019-01-07得票数 1
对于我的计算机安全类,我必须使用Tenable安全扫描器准备恶意攻击。扫描仪和目标,即Metasploitable2,都安装在不同的虚拟机上。一切正常,Nessus扫描目标并呈现报告。有没有任何Nessus的插件对Metasploitable2造成损害(当然不是对我的计算机)?到目前为止,我发现的所有漏洞都是攻击者可以使用的漏洞,但我需要使用Nessus本身进行一些攻击。
浏览 0提问于2017-01-19得票数 0
我们使用SonarQube扫描安全漏洞(和其他东西)。我想知道SonarQube是否真的发现了重要的安全问题。我开始对问题进行1比1这样的测试:protected void configure(HttpSecurity http) throws Exception { .and().headers().frameOptions().disable();然后,我将使用SonarQube扫描我的代码我想要一
浏览 8提问于2019-10-08得票数 0
回答已采纳
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。所以我想知道,OpenVAS是如何确定它是否脆弱的?它是否基于网页返回的内容?服务器返回的状态代码?
浏览 0提问于2019-11-21得票数 1
我们被要求在我们的服务器中执行漏洞扫描,这些漏洞扫描将使用支付卡处理事务作为符合PCI要求的一项要求。PCI DSS授权这种扫描必须由ASV完成。
我应该从这次扫描的结果中得到什么?这个扫描对应什么类型的扫描?像端口扫描像nmap扫描吗?它像网络服务扫描一样像nessus扫描吗?它像一个应用程序漏洞扫描吗?它是五倍的吗?ASV是将其服务限制为只提
浏览 0提问于2016-03-17得票数 4
可能重复: 最好的免费漏洞扫描器检查您的网站PHP &MySQL代码?
我正在寻找一个免费的漏洞扫描器来检查我的网站是否有常见的漏洞等等。有人能列出最好的免费漏洞扫描器吗?
浏览 0提问于2010-12-18得票数 0
我目前有一个java应用程序,它有几个组件,比如mysql。这些组件已经非常过时了。这些组件都在D;/磁盘上,但没有安装在C;/磁盘上(如所示,无法通过控制面板卸载它们)。我已经用nessus扫描了系统,但没有发现任何“漏洞”,因为组件没有安装。但我确信在我的系统上的java版本中有一些漏洞。
浏览 0提问于2019-03-07得票数 0
云服务器
ICP备案
对象存储
云直播
腾讯会议
腾讯云开发者
