腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9956)
视频
沙龙
1
回答
OWASP ZAP提交表格
penetration-test
、
owasp
、
zap
、
dvwa
我试图使用OWASP在DVWA中查找SQL注入
漏洞
。经过几次点击页面后,我得到了一个小的站点地图:我在GET:sqli节点上运行了
活动
扫描
、蜘蛛和AJAX蜘蛛。正如您在上面的屏幕截图中所看到的,没有发现SQL注入
漏洞
。//localhost:8081/vulnerabilities/sqli/页面中的表单操作也是如此:只有当我手动提交表单时,表单操作才会显示在“站点”选项卡中:而且,只有当我再次运行
活动
扫描
时,才会检测到
浏览 0
提问于2019-12-10
得票数 0
1
回答
如何检查geoserver中的log4j
漏洞
?
log4j
、
geoserver
、
zap
我正在尝试检查GeoServer中的GeoServer
漏洞
,在将旧的log4j包更新到解决该问题的新包之前和之后。为此,我使用Zap工具检查
漏洞
,在那里我发现了
活动
扫描
规则alpha。此规则试图发现Log4Shell (CVE-2021-44228)
漏洞
。请查看此链接以获得更多信息。而且,对于如何执行这个
活动
扫描
规则alpha,我也不太困惑。请分享一些有关其执行的信息。我的问题是,这是否是检查log4j GeoServer
漏洞
的正确方法?或者还有其他的
浏览 28
提问于2021-12-15
得票数 -1
5
回答
用Nmap
扫描
活主机时确定假阳性
penetration-test
、
network-scanners
、
nmap
、
host-discovery
在大型网络上进行
漏洞
评估时,通常的做法是确定网络上的哪些主机处于
活动
状态。 这可以通过各种方式进行。据我所读,做一些ICMP
扫描
是很好的,也许使用带有发现组件的
漏洞
扫描
器,或者做一些TCP/UDP
扫描
来查找没有响应或阻塞ICMP通信量的主机。有时,当进行TCP/UDP
扫描
时,即使没有检测到端口,nmap也会认为每个主机都是
活动
的。这是通过使用带有nmap的-PN交换机来实现的,这是必要的,因为否则主机似乎处于关闭状态,而且我确实发现
浏览 0
提问于2013-11-14
得票数 4
回答已采纳
1
回答
OpenVas是主动的还是被动的?
vulnerability-scanners
、
scan
我正在使用Ossim,我用OpenVas
扫描
了一个
漏洞
。我收到反馈说我们的一些软件在
扫描
后坏了。我们将检查日志以确定
扫描
是否导致了这种情况,但我想知道: OpenVas是一个
活动
的
扫描
器吗?
浏览 0
提问于2016-04-07
得票数 3
回答已采纳
1
回答
OWASP攻击代理项目是否包含它试图查找/利用的所有
漏洞
列表?
owasp
、
zap
、
documentation
我正在尝试编译一个
漏洞
列表,当您在when应用程序上以攻击模式运行“
活动
扫描
”时,ZAP试图找到这些
漏洞
。文档中是否存在此列表?如果它也有它尝试的所有输入的列表,那将是非常有用的。
浏览 0
提问于2018-02-14
得票数 1
回答已采纳
1
回答
OpenVAS --它如何知道是否打开了一个SQL
漏洞
?
openvas
我正试图在web应用程序中故意打开一个SQL
漏洞
,看看OpenVAS是否会发现它。所以我想知道,OpenVAS是如何确定它是否脆弱的?它是否基于网页返回的内容?服务器返回的状态代码?
浏览 0
提问于2019-11-21
得票数 1
2
回答
我可以禁用Azure SQL托管实例的
漏洞
扫描
规则吗?
azure
、
azure-sql-database
、
azure-sql-server
、
azure-sql-managed-instance
我有一个Azure SQL托管实例,它具有
活动
漏洞
扫描
评估例程。而且每次它给我的是VA2129 -对签名模块的更改应该是授权的。我已经做了很多次了,但是这个已经反复出现了。对于我的托管实例,是否有任何方法禁用任何像VA2129这样的
漏洞
评估规则,以避免多次基线化?
浏览 9
提问于2022-05-02
得票数 0
回答已采纳
1
回答
如何在zapproxy
扫描
中删除与指定url相关的所有资源?
java
、
zap
、
zapproxy
我正在使用的java客户端应用程序接口来自动和动态地检测许多网站的
漏洞
。我需要释放指定url的所有资源(警报、爬虫结果、
活动
扫描
结果、内存使用情况),并且不干扰其他url的
扫描
。那么,如何在zapproxy
扫描
中删除指定url的资源呢?
浏览 17
提问于2016-06-12
得票数 0
3
回答
脆弱性管理和评估跟踪解决方案
tracking
、
vulnerability-assessment
、
vulnerability-management
您的公司如何跟踪在接收
漏洞
扫描
报告和修补
漏洞
之间发生的
漏洞
管理信息?在稍后的日期,您进行另一次
扫描
(
扫描
B): Vuln 2 Vuln 4 将
漏洞
信息与补救决定(无论是否进行补救)一起放入大型主电子表格中,并手动更新它将允许您跟踪
漏洞
决策,因此您不会不断地从
扫描
到
扫描
重新评估相同的
漏洞
(在上面的示例中是第2和第3种
漏洞
)。是否
浏览 0
提问于2019-01-07
得票数 1
2
回答
TCP端口5904
活动
中的尖峰-为什么?
exploit
、
network-scanners
、
ports
在3月14日的广播中,在大约31分钟时,他们提到了端口5904/TCP上
扫描
活动
的增加。研究人员提到,他们不知道正在
扫描
的是什么。 有人知道攻击者(或良性用户)有哪些
漏洞
(或使用)吗?可能在找?
浏览 0
提问于2013-03-21
得票数 1
1
回答
帮助开发人员发现逻辑和授权缺陷
web-application
、
penetration-test
、
authorization
、
static-analysis
专业的渗透测试人员通常擅长发现各种
漏洞
,包括逻辑缺陷,这些
漏洞
都是针对被测试站点的高度特定的。然而,作为一种手动
活动
,渗透测试很少执行,因此开发人员希望在内部执行更多的安全QA。内部安全质量保证通常使用安全工具--网络
扫描
器或静态代码分析器。这些工具对于一些
漏洞
(例如跨站点脚本)是很好的,但它们通常根本找不到逻辑或授权缺陷。 那么,我们如何帮助开发人员发现逻辑和授权缺陷呢?
浏览 0
提问于2013-10-29
得票数 3
回答已采纳
1
回答
来自127.0.0.1的ssh垃圾邮件(“未收到标识字符串”和“不良协议版本标识”)
ubuntu
、
ssh
、
security
、
intrusion-detection
前传:我见过这个问题,但情况不一样。我对日志中出现的“heroku”特别感兴趣。XXX XX XX:XX:XX XXXXXXXXX sshd[10204]: Bad protocol version identification '343 <158>1 2018-10-03T06:57:36.572868+00:00 d.edf10812-9de0-4476-9
浏览 0
提问于2018-10-05
得票数 0
3
回答
是否有证据表明SharePoint没有SQL注入
漏洞
?
sharepoint
、
api
、
architecture
、
sql-injection
我的公司要求所有生产站点都要通过AppScan安全
扫描
。有时,当我们
扫描
SharePoint安装时,软件会检测到盲目的SQL注入
漏洞
。我非常确定这是一个误报--AppScan可能将HTTP响应中的某些其他
活动
解释为盲注入的成功。但很难证明这是真的。如果所有东西都是链式的,并且它们都不是动态的,那么我们就有很好的证据证明SharePoint没有SQL注入
漏洞
。
浏览 0
提问于2008-11-21
得票数 7
1
回答
ASV
扫描
-从外部
扫描
服务期待什么?
pci-dss
我们被要求在我们的服务器中执行
漏洞
扫描
,这些
漏洞
扫描
将使用支付卡处理事务作为符合PCI要求的一项要求。PCI DSS授权这种
扫描
必须由ASV完成。 我应该从这次
扫描
的结果中得到什么?这个
扫描
对应什么类型的
扫描
?像端口
扫描
像nmap
扫描
吗?它像网络服务
扫描
一样像nessus
扫描
吗?它像一个应用程序
漏洞
扫描
吗?它是五倍的吗?ASV是将其服务限制为只提
浏览 0
提问于2016-03-17
得票数 4
1
回答
最好的免费
漏洞
扫描
器检查您的网站PHP & MySQL代码?
security
、
php
、
mysql
可能重复: 最好的免费
漏洞
扫描
器检查您的网站PHP &MySQL代码? 我正在寻找一个免费的
漏洞
扫描
器来检查我的网站是否有常见的
漏洞
等等。有人能列出最好的免费
漏洞
扫描
器吗?
浏览 0
提问于2010-12-18
得票数 0
1
回答
导出按
漏洞
列出的Nessus专业
漏洞
扫描
结果
nessus
当我将Nessus Professional
漏洞
扫描
结果导出到HTML中时,结果将按主机列出。是否可以导出按
漏洞
列出的Nessus专业
漏洞
扫描
结果?
浏览 0
提问于2016-09-30
得票数 1
回答已采纳
1
回答
漏洞
扫描
器是否
扫描
源代码或可执行文件(二进制)?
security
我想知道
漏洞
扫描
器是否可以
扫描
二进制文件中的
漏洞
,还是只能
扫描
源代码?
浏览 58
提问于2021-02-19
得票数 0
回答已采纳
3
回答
web应用程序安全测试定义
penetration-test
、
vulnerability-scanners
当人们谈论webapp安全测试时,他们通常是指
漏洞
扫描
还是渗透测试?还是两者兼备?请评论一下。谢谢!!
浏览 0
提问于2012-06-28
得票数 1
2
回答
用于
漏洞
扫描
的服务器/网站
ip
、
vulnerability-scanners
、
websites
、
nessus
我需要测试
漏洞
扫描
器,如Nessus、Nmap等。我的老师告诉我,有一些已经准备好的网站(这些
扫描
器需要目标的IP地址来
扫描
)具有已知的
漏洞
,可以使用这些
扫描
器直接
扫描
,而无需在我的机器上安装本地设备。但我找不到合适的解决办法。你有什么建议吗?最好是我可以直接
扫描
的任何带有
漏洞
的IP地址。非常感谢各位。
浏览 0
提问于2020-05-11
得票数 0
回答已采纳
2
回答
漏洞
扫描
调度方法随需求变化而变化?
vulnerability-scanners
我有一个关于安排
漏洞
扫描
和评估工作的问题。是否应该在系统/应用程序设计或配置发生更改时启动此练习?由于不遵守变更管理协议/程序所产生的风险并不是
漏洞
扫描
器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风险/测试
漏洞</e
浏览 0
提问于2013-01-23
得票数 1
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
WEB漏洞扫描原理
容器安全-镜像漏洞扫描
网站漏洞扫描修复php代码详情
MassBleed-SSL漏洞扫描器
BurpSuite系列(四)-Scanner模块(漏洞扫描
热门
标签
更多标签
活动推荐
运营活动
广告
关闭
领券