1回答
从希望针对某个软件应用程序或目标开发零天攻击的人的角度来看,攻击者必须执行以下两项任务:(1)在软件中发现新的可利用漏洞;(2)为该漏洞开发可靠的武器化攻击。例如,模糊分析、反向分析和静态分析可能有助于发现漏洞;但是,构建一个可靠的漏洞需要进行单独的分析和工作。
这两项任务中哪一项的平均成本更高?我想知道这两项任务的经济状况是什么,并了解成本的比例。我知道,如果您查看单个漏洞,代价将取决于漏洞,但我要问的是一般情况。
浏览 0提问于2016-03-23得票数 6
二、源代码安全现状评测依据源代码的安全审计结果、对源代码安全漏洞进行人工审计,并依据安全漏洞问题给出相应的修改优化建议。
希望以上回答可以帮助到你
浏览 389提问于2021-03-16
数据泄漏分析和脆弱性分析之间有什么区别/关系?数据泄漏分析需要进行多大程度和什么样的漏洞测试?
我要给一些移动应用程序的数据泄漏分析报告。至于漏洞和利用漏洞,因此一些恶意方可能会使用复杂而聪明的方式对应用程序进行黑客攻击,并窃取其数据。我知道需要进行一些漏洞分析,例如不应该对发送到服务器的数据进行非加密.但是通常需要进行多深(以及什么样的)漏洞分析?我在上面提到的场景,是否需要这样的测试?
浏览 0提问于2015-02-26得票数 4
回答已采纳
4回答
静态代码评审方法
、、、
我的问题与Veracode与Fortify/AppScan使用的静态代码分析方法有关。( A)与源代码相比,对二进制文件进行评审是否有好处/缺点?( B)哪一个提供更多的覆盖范围/漏洞。( C)任何例子都是很好的。
浏览 0提问于2014-05-14得票数 8
我想分析一下我的Python命令行应用程序是否存在已知的安全漏洞(最好使用用Python编写的工具,为Ubuntu、Mac、Windows 10提供免费的Python跨平台)。现在,我正在使用静态分析器土匪,它基于抽象语法树执行分析。我认识另一个静态分析器pyt,它分析抽象语法树,生成控制流图并对其进行分析。然而,据我所知,它应该是与特定于web框架的适配器一起运行的。有人知道其他Python安全漏洞分析工具吗?
浏览 0提问于2018-10-23得票数 1
回答已采纳
2回答
假设一个网站有两个漏洞:反射XSS怎样才是最合适的方法来展示这些弱点?关于集思广益,我想说至少有三种选择:将这两个漏洞合并为一个具有很大影响的漏洞。
有三个漏洞,最初的两个加上两个链接时受影响的关键功能。第一个选项看起来不合适,第三个选项,列出一个额外的漏洞可能是多余的。第二个选项看起来不算太糟,但如果两个漏洞</em
浏览 0提问于2019-12-11得票数 2
1回答
我计划对软件定义的网络进行漏洞分析。由于业务应用程序和SDN控制器之间的连接将在应用层完成,因此我假设可以通过Burp Suite中的请求操作来探索web攻击。由于OpenFlow交换机和控制器之间的连接是通过SSL进行的,那么漏洞分析也会涉及数据包操作吗?
浏览 0提问于2019-12-19得票数 1
3回答
有没有人对它做过独立的安全分析,看看它有哪些共同的问题?例如,以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性,并在其中四个中发现了安全漏洞:皇帝的新密码管理器:基于的密码管理器的安全性分析。这些漏洞范围很广,从花园XSS和CSRF漏洞到基于利用书签的更加模糊的攻击,以及它们可能与恶意Javascript一起在上下文中执行的事实。是否有任何公开可用的Dashlane密码管理器
浏览 0提问于2014-12-09得票数 13
回答已采纳
祝大家十一月快乐,所以我决定做个测试项目然后在这里问。tstImageView release]; [tstImageView release];}当我尝试构建和分析时,clang静态分析器说self.tstImageView = [[UIImageView alloc
浏览 4提问于2011-11-03得票数 2
回答已采纳
2回答
是否有一组与JavaScript编程语言密切相关的常见漏洞?我正在寻找的是与堆栈、堆或缓冲区溢出相当的漏洞,这些漏洞与c/c++编程语言密切相关。可以推荐JavaScript上下文中的静态代码分析工具吗?
浏览 0提问于2018-03-28得票数 3
1回答
有些警告是我们不想修正的。如何抑制或排除他们在未来的报告,在地方和詹金斯CI?例如:在catch块中记录错误消息。对我们来说,了解这次行动是很重要的。,但不能满足我们的需要。
浏览 1提问于2017-06-28得票数 1
我必须跟踪一个合法(3.12) Linux内核的漏洞。为此,我在NVD这样的网站上搜索新的漏洞。最近,我遇到了一个问题,该漏洞的受影响版本被描述为cpe:/o:linux:linux_kernel:4.4:rc8 and previous versions。但是,当我将LinuxKernelVersion3.12的源代码与针对该漏洞的修复进行比较时,我可以看到,导致该漏洞的修改已应用于较后版本。这就引出了一个问题:
有没有一种方法可以在不手动分析源代码的情况下确定引入漏
浏览 0提问于2016-03-30得票数 4
谷歌分析没有显示任何关于特定IP的结果,当检查移动GA显示数据时。我们收到的错误是“资源不可用。请稍后重试。我们所依赖的一个或多个服务不可用。请在服务有机会恢复后重试。”
浏览 22提问于2016-09-09得票数 0
1回答
我使用以下方法修复了应用程序的内存泄漏我提交了我的应用程序,后来我分析了附加到设备上的代码,比如设备的Build &Analysis,当我按下Product然后按下时,出现了许多潜在漏洞。这两者之间有什么区别,我是根据仪器故障修复漏洞的吗?
是否像分析器指出的某些泄漏实际上可能导致性能工具没有显示/捕捉到的泄漏?
浏览 4提问于2011-07-05得票数 1
回答已采纳
如何有效分析OWASP ZAP扫描结果
运行一次之后,我得到了很多不是漏洞的URL。有没有什么方法可以让我们很容易的分析这些报告。
浏览 4提问于2020-01-28得票数 1
像quay.io这样的地方为它们承载的容器映像提供了已知漏洞的分析。我如何将它与我在Kubernetes中部署的软件连接起来?换句话说,我想要一个周期性的过程:
根据已知的漏洞列表检查每个图像。我已经找到了很多工具,可以对容器映像进行静态分析;这就像.apt包的CVE数据库一样。如何将图像漏洞列表应用于正在运行的系统?
浏览 0提问于2018-02-03得票数 3
今天(4月14日),自封的"ShadowBrokers“发布了大量的即时使用的0天攻击,部分原因是详细的使用说明。但更有趣的问题是:
可能有用的参考资料:
Ars Technica文章
浏览 0提问于2017-04-14得票数 11
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
