1回答
我们在我们的网站上进行了PCI DSS外部漏洞扫描,扫描失败了,有许多漏洞,所有这些漏洞都是PCI严重性:除了一个介质和另一个高度之外,其他漏洞都很低。如果客户端无法验证证书,它可以中止通信或提示用户继续通信而不进行身份验证。影响:通过利用此漏洞,中间人攻击可能与DNS缓存中毒同时发生.例外情况:如果服务器只与具有服务器证书或受信任CA证书的受限制客户端进行通信,则服务器或CA证书可能无法公开使用,并且扫描<
浏览 0提问于2017-06-16得票数 0
Elastic Beanstalk实例将驻留在私有子网中,它将通过VPC链路连接到AWS API网关,并将通过AWS NAT网关与外部通信。我们最近与我们QSA进行了一次交谈,他们告诉我们,我们不需要内部漏洞扫描(PCI Req 11.2.1)和内部笔式测试(PCI Req 11.3.2),因为Elastic Beanstalk容器实例不能以操作方式访问和交互管理,例如,在工作人员控制下的远程管理外壳,以及没有可访问的IaaS内部基础设施,可以实际扫描漏洞。他说我们不需要这些内部扫描&#
浏览 28提问于2021-02-16得票数 0
在我开始五分钟之前,我想,我最好开始思考,一个人能发现和发现哪些类型的漏洞?哪一个邪恶的功绩我可以找到,或者更确切地说,应该能够找到一个适当的五倍的锻炼?因此,如果有人有一个简短的答案,期望在一个DAST扫描/五倍,这将是非常感谢的。
保持安全,确保安全!僵尸男孩
浏览 9提问于2021-04-07得票数 0
回答已采纳
除了保护不受恶意流量的影响外,还可以定制Snort,以便根据我们的需要检测和阻塞特定的通信量。因此,基本上,我将为Snort编写规则,以满足我们的特定需求。但在开始之前,我需要使用漏洞扫描工具来了解Snort -防火墙组合目前没有检测到的漏洞,然后我可以开始为这些漏洞编写Snort规则。考虑到我的情况,我能为正确的工具提出建议吗?
浏览 0提问于2012-05-18得票数 2
回答已采纳
5回答
是否有任何用于Linux服务器的IP地址黑名单程序允许管理员指定触发IP地址扫描漏洞的iptables黑名单的某些条件?IP地址扫描我的web服务器的每一个默认的phpMyAdmin网址。这显然是一个机器人,我不想与我的服务器通信,所以我想把它的IP地址黑名单一天。
我有什么办法阻止那些机器人?
浏览 0提问于2011-12-30得票数 1
回答已采纳
5回答
在大型网络上进行漏洞评估时,通常的做法是确定网络上的哪些主机处于活动状态。考虑一个由1000台主机组成的示例网络。也许50将响应ICMP的流量,可以被认为是现场直播。有时,当进行TCP/UDP扫描时,即
浏览 0提问于2013-11-14得票数 4
回答已采纳
在进行安全扫描时,我们发现我们正在获得: OpenSSL oracle填充漏洞(CVE-2016-2107)。我们可以在Windows端采取哪些步骤来解决这个问题?
浏览 0提问于2016-10-21得票数 1
3回答
您的公司如何跟踪在接收漏洞扫描报告和修补漏洞之间发生的漏洞管理信息?在稍后的日期,您进行另一次扫描(扫描B): Vuln 2 Vuln 4
将漏洞信息与补救决定(无论是否进行补救)一起放入大型主电子表格中,并手动更新它将允许您跟踪漏洞决策,因此您不会不断地从扫描到扫描重新评估相同的漏洞(在上面的示例中是第2和第3种漏洞)。是否
浏览 0提问于2019-01-07得票数 1
1回答
ASV反向代理扫描
、、、
现在,在第二种场景中(没有证书和没有HTTPS解密),我们出现了一个问题,即我们的ASV扫描失败了,因为扫描流量击中了我们的客户系统,并报告了一些事情,比如使用的SSL的旧版本,或者不安全的密码套件。正如您所看到的,我们只是在TCP级别转发流量,所以像这些漏洞报告的任何漏洞实际上都是客户端点上的问题,而不是我们作为服务提供者的系统上的问题。端口443 (仅443 )在TCP级别充当反向代理,因此扫描通信量正在攻击超出我们PCI范围的服务器。HackerGuardian不会将这些漏
浏览 0提问于2015-12-17得票数 4
回答已采纳
我有一个专用的服务器窗口服务器2016、IIS、Sql server 2018企业版和MS SQL server数据库。我使用这个服务器来托管我的dotnet核心应用程序,我通过远程桌面管理这个服务器。托管网站在服务器上安装了SSl证书。我想知道我应该应用的最佳实践是什么,以确保我的服务器以及我的托管web应用程序及其连接的SQL数据库的完全安全。此外,我还想知道是否有可信的工具可以测量我的服务器、web应用程序和SQL数据库的安全级别。
提前感谢
浏览 0提问于2020-02-04得票数 1
我们被要求在我们的服务器中执行漏洞扫描,这些漏洞扫描将使用支付卡处理事务作为符合PCI要求的一项要求。PCI DSS授权这种扫描必须由ASV完成。
我应该从这次扫描的结果中得到什么?这个扫描对应什么类型的扫描?像端口扫描像nmap扫描吗?它像网络服务扫描一样像nessus扫描吗?它像一个应用程序漏洞扫描吗?它是五倍的吗?ASV是将其服务限制为只提
浏览 0提问于2016-03-17得票数 4
可能重复: 最好的免费漏洞扫描器检查您的网站PHP &MySQL代码?
我正在寻找一个免费的漏洞扫描器来检查我的网站是否有常见的漏洞等等。有人能列出最好的免费漏洞扫描器吗?
浏览 0提问于2010-12-18得票数 0
我正在浏览Acunetix在线生成的报告。我只是好奇地想知道Acunetix方面的头是什么意思?Acunetix-Aspect-Password: 082119f75623eb7abd7bf357698ff66c
浏览 7提问于2016-03-08得票数 2
回答已采纳
2回答
我需要测试漏洞扫描器,如Nessus、Nmap等。我的老师告诉我,有一些已经准备好的网站(这些扫描器需要目标的IP地址来扫描)具有已知的漏洞,可以使用这些扫描器直接扫描,而无需在我的机器上安装本地设备。但我找不到合适的解决办法。你有什么建议吗?最好是我可以直接扫描的任何带有漏洞的IP地址。非常感谢各位。
浏览 0提问于2020-05-11得票数 0
回答已采纳
当我将Nessus Professional漏洞扫描结果导出到HTML中时,结果将按主机列出。是否可以导出按漏洞列出的Nessus专业漏洞扫描结果?
浏览 0提问于2016-09-30得票数 1
回答已采纳
在我2003年的R2 SP2系统上,nessus的安全扫描已经从MS05-019号公告中找到了一个‘安全漏洞’,这个漏洞已经完全修补好了。CVE-2005-0048CVE-2004-1060CVE-2005-0688
该扫描是通过Hackerguardian.com进行的PCI<
浏览 0提问于2012-02-22得票数 4
回答已采纳
我有一个关于安排漏洞扫描和评估工作的问题。是否应该在系统/应用程序设计或配置发生更改时启动此练习?由于不遵守变更管理协议/程序所产生的风险并不是漏洞扫描器的直接责任,因此,如果不通过变更控制系统和其他手段(审计等)来处理这种风险,则该风险并不是直接责任。当我知道是否遵循了适当的变更管理流程时,我为什么要浪费时间评估风险/测试漏洞</e
浏览 0提问于2013-01-23得票数 1
回答已采纳
2回答
如何从漏洞扫描或供应商发布的漏洞中手动验证漏洞?
假设你收到了一份高漏洞的报告。漏洞扫描器使用标头的版本检查。如果没有针对此漏洞的公开攻击,如果无法在内部访问服务器,如何检查它?一个例子是CVE-2019-13917,我似乎找不到一个公共漏洞扔到服务器上来验证漏洞,我的最后一个资源是将它发送给负责的it团队。这是正确的方法吗?-如果没有公开的利用,唯一的办法是通过反向工程从供应商那里获得补丁来创造你自己的漏洞
浏览 0提问于2021-05-27得票数 1
云服务器
ICP备案
云直播
对象存储
腾讯会议
腾讯云开发者
