1回答
用于PCI DSS的弹性Beanstalk的内部漏洞扫描和笔测试
amazon-web-services、amazon-ec2、amazon-elastic-beanstalk、pci-compliance、pci-dss
我们目前正在构建一个符合PCI DSS Level 1的平台,该平台将仅在Elastic Beanstalk (Linux AMI)上运行一个应用服务器。我们最近与我们QSA进行了一次交谈,他们告诉我们,我们不需要内部漏洞扫描(PCI Req 11.2.1)和内部笔式测试(PCI Req 11.3.2),因为Elastic Beanstalk容器实例不能以操作方式访问和交互管理,例如,在工作人员控制下的远程管理外壳,以及没有可访问的IaaS内部基础设施,可以实际扫描漏洞。他说我们不需要这
浏览 28提问于2021-02-16得票数 0
1回答
为我们的团队寻找一个安全的项目管理平台
project-management、privacy
我们正在寻找一个安全可靠的项目管理平台(数据加密?),并有良好的记录记录,没有任何过去的安全漏洞。我们需要这个平台来组织我们的会议和活动,以及促进我们的信息和文件共享。我们正在寻找项目管理平台的备选方案,这些备选方案的措施将使其他人很难(如果不是不可能)窃取信息/文件和/或注意到我们正在做/分享的事情。
对去哪里找有什么建议吗?另外:在选择项目管理平台时,我们应该寻找哪些安全特性?
浏览 0提问于2020-09-17得票数 3
3回答
我们是否可以使用sonarqube通过azure devops ci/cd管道从Terraform扫描(基础设施即代码) IaC?
azure、sonarqube、terraform
我们是否可以使用sonarqube来扫描Azure代码(而不是应用程序代码)( IaC代码在这里指的是创建IaC基础设施的平台代码,如基于角色的访问控制、个人信息管理、允许的位置等),以查找DevOpsCI/CD管道的错误和漏洞?
浏览 1提问于2021-04-21得票数 3
2回答
熔毁与幽灵-修补未修补的虚拟机管理程序的来宾内核是否防止跨VM内存泄漏?
linux、xen、cloud-computing、rackspace、vulnerabilities
24小时后,广泛释放的漏洞,Rackspace是沉默的幽灵和熔毁。他们没有修补所有Xen管理程序的计划。他们所有较新的平台服务器都是HVM服务器,易受攻击。旧的PV服务器不会受到攻击。我已经更新了我的HVM来宾的Linux内核,但是Rackspace没有更新他们的任何管理程序。更新未修补的虚拟机管理程序上的来宾内核会防止“坏蛋”VM访问我修补好的主机泄漏的内存吗?
浏览 0提问于2018-01-04得票数 12
回答已采纳
1回答
没有vPro的CPU中的英特尔管理引擎漏洞
hardware、cpu
(ME)带来了安全风险(例如,请参阅这里 )。据我所知,我是英特尔vPro的一部分。没有vPro支持的Intel是否意味着ME功能不全,因此不那么容易受攻击?我在互联网上看到了多个(非权威的,没有链接的)声明,最近所有的Intel CPU都启用了ME。我搞不懂没有vPro支持实际上意味着什么是关于ME和相关的安全问题。
浏览 0提问于2017-09-23得票数 2
回答已采纳
2回答
“passwd”命令如何获得根用户权限?
linux、security、permissions、root
如果一个进程可以获得根权限,那么它不会导致Linux平台中潜在的安全漏洞吗?Linux是如何管理仍然是安全的?
浏览 0提问于2013-11-09得票数 11
2回答
如何开始审核智能合同?
contract-development、contract-design、security
我将报告我在审计smart合同时所发现的所有漏洞。是否有任何平台可以让我审核其他人开发的智能合同?是否有任何平台,让高级审计师分享他们的经验,并公布他们在审计智能合同时发现的漏洞?
浏览 0提问于2019-02-08得票数 1
回答已采纳
1回答
相同程序的windows/linux/mac漏洞的差异
windows、linux、known-vulnerabilities、research、buffer-overflow
如果有人在运行在linux机器上的程序(如Google Chrome或Mozilla Firefox )中发现类似缓冲区溢出的漏洞,那么在运行相同程序的Mac OS X或Windows上是否存在此漏洞。
浏览 0提问于2012-01-02得票数 3
回答已采纳
1回答
受影响操作系统过滤CVEs
vulnerability、operating-systems、known-vulnerabilities、cve
是否可以通过受影响的平台/操作系统过滤CVEs?
有些源确实提供了这种功能,比如利用db,但主要的漏洞源NVD,国家漏洞数据库,似乎没有这类类别或过滤器,无论是CVEs还是CPE。如果这是不可能的或不可靠的,我如何才能知道一个产品是否受到特定平台上的漏洞的影响?我应该假设他们都受到影响了吗?
浏览 0提问于2023-05-12得票数 0
1回答
从技术上讲,我如何称呼这个漏洞?
terminology
我和用户在同一个编码平台上,点击证书链接并导航到证书页面,然后我在证书中看到了我的名字,而不是那个家伙。是那个编码平台上的错误吗??有了这个我就有资格得到赏金了吗?在技术术语中,我应该如何称呼这个漏洞?/DOM XSSSQL注入特权提升文件包含(本地和远程)敏感数据泄漏付款操纵
没有身份验证机制的管理门户,除非它们导致主网站上的漏洞
浏览 0提问于2019-11-11得票数 0
回答已采纳
2回答
基于自定义的基于反应的电子商务网站存在哪些漏洞,为什么我应该只使用Shopify?
security、shopify、e-commerce
我一直在设计一个小型的电子商务平台来销售珠宝。最初,我想让它与web3兼容(接受元掩码支付),并且考虑到我是一个开发人员,我想采用DIY方法,而不是像Shopify这样的平台。是否存在Shopify没有考虑到的潜在漏洞?
这似乎很简单,可以在一个网站上付款,但我有一种感觉,我没有考虑一些主要的含义,不使用一个平台,如Shopify。
浏览 3提问于2022-10-02得票数 0
1回答
GlassFish目录泄漏漏洞
security、directory、glassfish
我有一个Glassfish 4.1.1服务器,有一个用MCafee漏洞管理器进行的漏洞扫描,发现服务器在管理服务器(端口4848)上有泄漏漏洞FID 10109 (端口4848)我搜索并且只找到目录横向漏洞的解决方案,有谁解决了这个漏洞?
浏览 8提问于2017-03-15得票数 2
回答已采纳
4回答
如何处理那些拒绝修复安全漏洞的公司?
exploit、sandbox
在为第三方公司开发的应用程序平台编写软件时,我在框架代码中遇到了一个安全漏洞,该漏洞允许非特权代码通过沙箱解决方案中的漏洞执行未经授权的权限提升。我已经将安全问题通知了公司,甚至在不到一周的时间内就开发了一个解决该问题的修补程序,而且该公司还没有发布对该产品的更新,以修复此漏洞。
该公司目前已售出4 000多万本此产品,几周后仍未修复此漏洞。我应该怎么做才能让人们意识到这个漏洞以及他们可以做些什么来保护自己,而不给那些可以用来攻击平台的“坏人”工具呢?
浏览 0提问于2012-12-05得票数 9
1回答
我的web服务器被击中了,所有的资源都用尽了,怎么找出根本原因呢?
website、ddos、brute-force-attacks
我基本上是在数字海洋液滴上建立了这个灯服务器,并在它上添加了Sentora,以帮助使事情更容易管理。
所以,我对linux在命令提示符下进行修改等都很满意。
浏览 0提问于2017-12-02得票数 0
3回答
对于不同的文件系统,windows是否有相同的最大路径长度(目录条目的名称)?
windows、security、tcl
我必须知道TCL8.4中的特定漏洞是否会影响Windows平台此外,一个人如何利用Windows上的此漏洞?
谢谢
浏览 2提问于2011-05-17得票数 0
回答已采纳
1回答
平台迁移的组件和服务文档需求
untagged
我突然需要全面记录一个中等复杂的平台,并将其分解为服务和应用程序组件,并描述如何将这些服务迁移并提供到一个基于云的新平台中。显然,无论是为了简洁,还是为了遵守站点的规则,我都不想讨论文档的好处和类型,而只是为了获取管理通用应用程序堆栈的“事实”的基本列表。文档
安全性
备份与恢复
服务器管理
配置管理
浏览 0提问于2011-12-21得票数 1
回答已采纳
1回答
如何检查开放源代码中的漏洞?
vulnerability、source-code、opensource、secure-coding
我是臭虫赏金平台的成员。有一些程序让黑客可以使用他们的源代码来发现漏洞。例如,他们的PHP、JS、C++或ruby代码。黑客如何净化这些代码来理解它?
黑客是如何发现漏洞的?他们需要什么工具(除了漏洞扫描器)
浏览 0提问于2018-06-16得票数 1
回答已采纳
3回答
我应该把渗透测试报告写成什么样的人?
penetration-test
第一人称单数:我发现了HP电源管理器中的一个漏洞.第三人称单数,名字: Bob发现了HP电源管理器中的漏洞.第三人称单数,一般:测试人员发现了HP电源管理器中的一个漏洞。
第三人称单数,攻击者:攻击者发现了HP电源管理器中的漏洞.
浏览 0提问于2016-01-27得票数 39
回答已采纳
1回答
在没有管理员权限的情况下运行厨师-客户端
security、chef-infra
平台:Windows 2012 R2我想知道是否有可能在没有管理员访问的情况下在windows上运行厨师-客户端。对我来说,这就像是一个安全漏洞,如果windows机器被破坏,妥协者可以完全访问该机器。
但是,安装MSI包、更改IIS设置和移动/更改文件夹的权限使这一点变得困难。有没有一种没有管理员权限的运行厨师客户端的方法,或者可能是我错过的安全策略?
浏览 3提问于2017-08-21得票数 0
回答已采纳
2回答
记录Android上的API调用以嗅探SSL连接
android、hook
我正在尝试了解一个特定的封闭源码Android应用的网络协议。不幸的是,该协议运行在SSL之上,这意味着我无法使用嗅探器窃听连接。有没有已知的方法可以在(根) Android设备上做到这一点?或者您是否知道在SSL连接上进行窃听的其他方法?
浏览 0提问于2012-08-06得票数 0
回答已采纳
云服务器
ICP备案
即时通信 IM
云点播
云直播
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号