在为第三方公司开发的应用程序平台编写软件时,我在框架代码中遇到了一个安全漏洞,该漏洞允许非特权代码通过沙箱解决方案中的漏洞执行未经授权的权限提升。我已经将安全问题通知了公司,甚至在不到一周的时间内就开发了一个解决该问题的修补程序,而且该公司还没有发布对该产品的更新,以修复此漏洞。
该公司目前已售出4 000多万本此产品,几周后仍未修复此漏洞。我应该怎么做才能让人们意识到这个漏洞以及
浏览 0提问于2012-12-05得票数 9
6回答
我负责一个必须非常安全的web应用程序。用户将使用该网站相互提交高度敏感的信息。安全性必须是世界级的。我们相信,我们已经以这种方式建立了网站,将安全风险降至最低,并在整个公司范围内实施了许多政策和程序来提高安全性。我们希望第三方执行详尽且持续的安全测试:自动化测试、应用程序测试,以及更多,以检查跨站点脚本问题、服务器错误配置、表单/隐藏字段操作、命令注入、Cookie中毒、已知平台漏洞等。对于这些类型的服务
浏览 1提问于2009-01-17得票数 7
1回答
我自己配置了它,它有两个公司网站。我不打算再去那里了。因此,在公开之前,我想检查一下它是否存在安全漏洞。请指导我的最佳实践,清单和审计程序,任何衡量和评估服务器的安全性。
浏览 0提问于2013-07-03得票数 0
回答已采纳
1回答
将敏感信息从angular传递到Webapi的最佳实践是什么?
在发送到webapi之前,我们需要在客户端对它们进行散列/加密吗?
浏览 15提问于2018-01-12得票数 1
6回答
我正在进行一项研究与开发任务,以测试web应用程序中可能出现的安全漏洞。我想使用开源工具。我读过网络应用程序的安全测试和开源安全测试工具,发现它很有用。但是,由于它是在一年前发布的,我想得到一个最新的答复。
浏览 0提问于2014-07-22得票数 3
3回答
我正在寻找ASP.Net中最好的可重用的库和内置功能,以防止OWASP十大安全漏洞,如注入,XSS,CSRF等,也易于使用工具来检测这些漏洞,供测试团队使用。您认为什么时候是在开发生命周期中开始将安全编码整合到应用程序中的最佳时机?
浏览 0提问于2010-07-06得票数 3
回答已采纳
2回答
假设一家软件公司XYZ正在使用各种第三方供应商--例如,它可以使用:Azure B2C作为公司软件产品的认证框架,作为该软件的日志解决方案的新遗留物在Lastpass / Azure B2C / S3 / New /等等类似的第三方供应商中监视安全事件/漏洞的可能方法是什么。这样XYZ可以在这些漏洞发布后立即了解这些漏洞,而不是在漏洞</
浏览 0提问于2023-04-11得票数 1
回答已采纳
假设我负责公司的一个应用程序,我决定雇用安全专家来执行安全审核。让我们进一步假设我的公司拥有应用程序的源代码,并且允许我将其交给雇用的专家。
有什么好的理由比安全源代码审查更喜欢黑盒渗透测试吗?在我看来,源代码审核比黑盒渗透测试更快、更有效地识别关键漏洞。为什么我要让安全专家在黑暗中锤击我的应用程序,因为我可以向他提供内部信息,如系统配置和源代码,以帮助他更好地指导他的工作。为了避免混淆--当我谈到安全源代码审查时,
浏览 0提问于2011-10-07得票数 7
回答已采纳
这存在开发/测试问题,因为添加测试数据意味着进行相应的数据库更改。但是,由于该公司的测试都是手工操作的,而且测试数据库只是在不同版本之间大量复制,所以它的影响似乎没有人们想象的那么大。GUI有许多验证检查,以确保列被安全地添加。前端(AngularJS)直接写入数据库,而不是通过后端API,这也让我感到不舒服,但同样,应用程序也足够适合公司确保用户始终通过GUI。而且它安装在私人公司网络上,所以理论上它不会直接受到公众对数据库的攻击。该<em
浏览 0提问于2020-08-07得票数 2
回答已采纳
4回答
我是一个用GWT构建的网站的Java自动化测试人员。我的老板现在想让我专攻安全测试。问题是,除了一些简单的SQL注入之外,公司中没有人知道任何关于安全测试的知识,这两种方法都很容易测试。虽然谷歌为程序员提供了一些示例,但他们没有教测试人员如何准确地测试这些漏洞。有没有一个地方,一个教程,提供了一些实际的例子,人们如何尝试这些类型的漏洞,以及如何在您的web应用程序中发现它们?
浏览 0提问于2011-05-31得票数 16
回答已采纳
我们在我们的公司网站上使用Facebook Graph API,API秘密在开发团队之间共享,用于测试以及在生产中使用。问题是,当开发人员离开公司时,我们必须更改Facebook API密钥,以防止可能的安全漏洞。在我看来,Facebook API不允许创建多个API密钥。我想知道其他团队是如何解决这个问题的。
浏览 0提问于2014-02-13得票数 0
想要测试微服务的安全需求,并做了一些谷歌和找到一些好的博客,如网址:。如何测试URL是否没有任何PHP内容。检查一下是否有漏洞。我是这个安全测试领域的新手。请帮帮我。
谢谢
浏览 3提问于2017-01-23得票数 0
回答已采纳
是否有方法将Container漏洞扫描作为.yaml脚本中的一个步骤,使用Cloud执行CI/CD管道。如果严重程度是关键的或高度的,则不部署映像。
我不知道这方面的最佳实践是什么,特别是在有严格安全规则的公司中。
浏览 0提问于2019-06-10得票数 0
回答已采纳
公司想要开始提高安全性。测试团队使用OWASP工具(GUI版本)扫描新版本的漏洞。这通常需要半个小时到90分钟。
如何在CI/CD中以一种快速(5分钟以下)的方式将扫描包括进来,但仍然提供反馈?
浏览 0提问于2021-11-09得票数 1
回答已采纳
让我说我雇了一个“道德黑客和渗透测试”的人。他将试图破坏我的系统/网站的安全。显然,我不是安全专家,所以我如何判断:“安全专家”不足以入侵它..。
浏览 0提问于2016-12-17得票数 1
我是一位来自印度的计算机科学专业毕业生,我一直想从事信息安全方面的工作,并对VAPT感兴趣。但是我被选中的公司是给我安全运营中心分析师(SOC分析师)的资料。我很困惑,我应该接受它还是等待其他的机会在VAPT(漏洞评估和渗透测试)?
谢谢等待你的答复
浏览 0提问于2015-02-13得票数 -3
我为一家公司工作,该公司自数十年前成立以来一直从事内部应用程序开发(为我们的内部系统)。然而,最近API和实时数据传输的兴起终于引起了高层的注意。在此之前,所有的数据交换都是通过FTP文件传输和使用新创建的API来进行的,这些API可能会在我们的防御系统中打开一个漏洞,这促使我们需要进行InfoSec咨询。以下是我们对InfoSec咨询的要求的一个粗略总结:清单上的第二条是我们联系过的所
浏览 0提问于2019-02-11得票数 2
回答已采纳
我能够使用TELNET成功地连接到它们,但除此之外,还有任何常见的漏洞/漏洞,我应该对它们进行测试,或者这样打开它们甚至是一个安全问题吗?这是承载IMAP/POP3 3服务器的公司吗?我找不到任何一家名叫芬尼克斯的公司提供这些服务。
浏览 0提问于2018-08-22得票数 0
回答已采纳
2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?我发现,通过命令链进行风险沟通是获取资源解决问题的最佳方法。我是
浏览 0提问于2020-06-11得票数 0
回答已采纳
云服务器
ICP备案
云直播
对象存储
实时音视频
腾讯云开发者
