1回答
OWASP ZAP提交表格
penetration-test、owasp、zap、dvwa
我试图使用OWASP在DVWA中查找SQL注入漏洞。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了活动扫描、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入漏洞。//localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行活动扫描时,才会检测到
浏览 0提问于2019-12-10得票数 0
1回答
如何检查geoserver中的log4j漏洞?
log4j、geoserver、zap
我正在尝试检查GeoServer中的GeoServer漏洞,在将旧的log4j包更新到解决该问题的新包之前和之后。为此,我使用Zap工具检查漏洞,在那里我发现了活动扫描规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)漏洞。请查看此链接以获得更多信息。而且,对于如何执行这个活动扫描规则alpha,我也不太困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查log4j GeoServer漏洞的正确方法?或者还有其他的
浏览 28提问于2021-12-15得票数 -1
2回答
使用管理员用户权限执行漏洞评估测试是否有意义?
vulnerability-scanners、scan
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
1回答
如何使用Altbeacon通过应用程序在后台监视信标,但使用开关启动/停止扫描
android、background、monitoring、altbeacon
我在一个Android iBeacon应用中工作,用来管理商店里的促销活动。当顾客在商店附近时,应用程序会发送一个通知,其中包含最好的促销或折扣。它工作得很好,但在这种方法中,应用程序总是在监视信标的扫描。我需要允许用户启动和停止监控服务,但我不知道如何使用Application类中的逻辑来执行此操作。我不仅需要绑定和解除绑定beaconManager,而且如果用户不想使用促销系统,还需要启动或停止真正的扫描以节省电池。
提前感谢!
浏览 4提问于2015-02-07得票数 0
1回答
如何在AMD OpenCL SDK中使用printf打印半精度浮点数?
printf、opencl
编程指南提供了双精度(%ld)和向量类型(例如%v4f)的说明,但没有半精度浮点数的说明。
浏览 3提问于2012-01-19得票数 1
回答已采纳
5回答
用Nmap扫描活主机时确定假阳性
penetration-test、network-scanners、nmap、host-discovery
在大型网络上进行漏洞评估时,通常的做法是确定网络上的哪些主机处于活动状态。
这可以通过各种方式进行。据我所读,做一些ICMP扫描是很好的,也许使用带有发现组件的漏洞扫描器,或者做一些TCP/UDP扫描来查找没有响应或阻塞ICMP通信量的主机。有时,当进行TCP/UDP扫描时,即使没有检测到端口,nmap也会认为每个主机都是活动的。这是通过使用带有nmap的-PN交换机来实现的,这是必要的,因为否则主机似乎处于关闭状态,而且我确实发现
浏览 0提问于2013-11-14得票数 4
回答已采纳
1回答
OpenVas是主动的还是被动的?
vulnerability-scanners、scan
我正在使用Ossim,我用OpenVas扫描了一个漏洞。我收到反馈说我们的一些软件在扫描后坏了。我们将检查日志以确定扫描是否导致了这种情况,但我想知道: OpenVas是一个活动的扫描器吗?
浏览 0提问于2016-04-07得票数 3
回答已采纳
1回答
OWASP攻击代理项目是否包含它试图查找/利用的所有漏洞列表?
owasp、zap、documentation
我正在尝试编译一个漏洞列表,当您在when应用程序上以攻击模式运行“活动扫描”时,ZAP试图找到这些漏洞。文档中是否存在此列表?如果它也有它尝试的所有输入的列表,那将是非常有用的。
浏览 0提问于2018-02-14得票数 1
回答已采纳
1回答
OpenVAS --它如何知道是否打开了一个SQL漏洞?
openvas
我正试图在web应用程序中故意打开一个SQL漏洞,看看OpenVAS是否会发现它。所以我想知道,OpenVAS是如何确定它是否脆弱的?它是否基于网页返回的内容?服务器返回的状态代码?
浏览 0提问于2019-11-21得票数 1
2回答
需要关于VPS安全的建议--也许是一些自动化工具
ubuntu、security、vps
我创建将在Ubuntu20.04VPS服务器上服务的应用程序。Nginx,Python,Postgresql,nodejs,没什么特别的。你能给我推荐一些关于互联网服务器安全的现代手册吗?如果有一些自动的安全测试服务或任何可以帮助审计/监视服务器的服务--请告诉我,付费是可以的。
浏览 0提问于2022-01-18得票数 1
2回答
我可以禁用Azure SQL托管实例的漏洞扫描规则吗?
azure、azure-sql-database、azure-sql-server、azure-sql-managed-instance
我有一个Azure SQL托管实例,它具有活动漏洞扫描评估例程。而且每次它给我的是VA2129 -对签名模块的更改应该是授权的。我已经做了很多次了,但是这个已经反复出现了。对于我的托管实例,是否有任何方法禁用任何像VA2129这样的漏洞评估规则,以避免多次基线化?
浏览 9提问于2022-05-02得票数 0
回答已采纳
1回答
如何在zapproxy扫描中删除与指定url相关的所有资源?
java、zap、zapproxy
我正在使用的java客户端应用程序接口来自动和动态地检测许多网站的漏洞。我需要释放指定url的所有资源(警报、爬虫结果、活动扫描结果、内存使用情况),并且不干扰其他url的扫描。那么,如何在zapproxy扫描中删除指定url的资源呢?
浏览 17提问于2016-06-12得票数 0
2回答
TCP端口5904活动中的尖峰-为什么?
exploit、network-scanners、ports
在3月14日的广播中,在大约31分钟时,他们提到了端口5904/TCP上扫描活动的增加。研究人员提到,他们不知道正在扫描的是什么。
有人知道攻击者(或良性用户)有哪些漏洞(或使用)吗?可能在找?
浏览 0提问于2013-03-21得票数 1
1回答
来自127.0.0.1的ssh垃圾邮件(“未收到标识字符串”和“不良协议版本标识”)
ubuntu、ssh、security、intrusion-detection
我还使用谷歌的谷歌认证器进行双因素认证。
这是否值得关注的原因呢?每秒钟看到多个请求,我有点害怕。
浏览 0提问于2018-10-05得票数 0
1回答
帮助开发人员发现逻辑和授权缺陷
web-application、penetration-test、authorization、static-analysis
专业的渗透测试人员通常擅长发现各种漏洞,包括逻辑缺陷,这些漏洞都是针对被测试站点的高度特定的。然而,作为一种手动活动,渗透测试很少执行,因此开发人员希望在内部执行更多的安全QA。内部安全质量保证通常使用安全工具--网络扫描器或静态代码分析器。这些工具对于一些漏洞(例如跨站点脚本)是很好的,但它们通常根本找不到逻辑或授权缺陷。
那么,我们如何帮助开发人员发现逻辑和授权缺陷呢?
浏览 0提问于2013-10-29得票数 3
回答已采纳
1回答
即使陈年未满一半,仍有大量CMS标记备注停顿
garbage-collection、concurrent-mark-sweep
我正在试图理解的原因,大量的CMS标记和备注(以及其他阶段),平均约700毫秒,即使旧的一代甚至不到一半的full.Following是GC配置和统计来自GCViewer。-Xmx3g -XX:MaxNewSize=1800m-XX:SurvivorRatio=8-XX:+CMSClassUnloadingEnabledGC测井
152433.761: [GC [1 CMS-initial-mark: 284761K(
浏览 0提问于2015-08-31得票数 0
3回答
是否有证据表明SharePoint没有SQL注入漏洞?
sharepoint、api、architecture、sql-injection
我的公司要求所有生产站点都要通过AppScan安全扫描。有时,当我们扫描SharePoint安装时,软件会检测到盲目的SQL注入漏洞。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他活动解释为盲注入的成功。但很难证明这是真的。如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入漏洞。
浏览 0提问于2008-11-21得票数 7
1回答
网站安全性
c、security、webserver
每当我看到网站托管网站的广告或数据中心的促销活动时,我都会听到很多关于安全/漏洞的信息。
我想知道它们是什么。
浏览 1提问于2011-05-11得票数 0
回答已采纳
1回答
使用mysql键/索引提高查询性能
mysql
我要所有的促销活动,在特定的日期之间。一旦激活升级,createdOnDt将更改为now(),而updatedOnDt仍然为null。当升级被停用时,updatedOnDt被更改为now()。clientId_subClientId (clientId,subClientId)现在,约会之间的积极促销活动可以通过------+-------------------------------+------+----
浏览 6提问于2021-08-18得票数 0
2回答
模糊化的重要性是什么?
fuzzing、zap
简单的活动扫描可以在网站(如XSS )中发现漏洞。那我们为什么要用模糊器呢?
如果有人能弄清楚这件事,那就太棒了!我刚接触过网站黑客。
浏览 0提问于2018-11-13得票数 2
回答已采纳
云服务器
对象存储
ICP备案
云点播
腾讯会议
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号