2回答
使用管理员用户权限执行漏洞评估测试是否有意义?
vulnerability-scanners、scan
我们有一个管理门户网站,我们使用它来配置和监视我们的系统,我们最近让一位安全顾问扫描我们的服务器上的漏洞。我们的管理门户是通过用户名和密码认证以及双因素身份验证来保护的。问题是,安全顾问正在对获得完全授权的完全身份验证的用户进行漏洞评估和渗透测试。这是有意义的,但由于用户已经完全通过身份验证,扫描正在改变配置,以至于系统将不再运行。
所以,用这种方式做扫描对吗?
浏览 0提问于2021-05-09得票数 0
1回答
jar如何在使用它的web应用程序中传播漏洞?
spring、spring-mvc、spring-security、jar
我有一个受Security保护的Spring应用程序。生活似乎如此平静,直到我被迫做了一个静态的应用程序安全测试(SAST),并且这个工具抛出了许多安全问题。看看这里:我已经浏览了所有的CVEs,并粗略地了解了这些漏洞。我有几个问题:
当像security这样的安全框架被集成在一起时,web应用程序如何容易受到这种攻击?我是否可以忽略所有这些漏洞,因为Security可能对所有这些漏洞都有某种解决办法?
浏览 3提问于2017-10-12得票数 12
回答已采纳
1回答
大量的JetDirect固件更新--它们解决了哪些问题?
hp、update、print-server、firmware
这一批更新是否解决了一些安全漏洞(例如,SSLv3、贵宾或其他记录在案的CVEs),还是引入了新功能(例如TLS或WPA2)?根据可接受的答案中提供的页面中的信息进行更新,在这些固件更新中引入了一些安全更新和新特性。在280m中,这些是我最感兴趣的更新,因为它们似乎存在几个SSL漏洞,并添加了WPA兼容性:以太网本地管理寻址(LAA)证书漏洞说明VU#412115已修复
FTP802.11b的Wi认证和680n (J6
浏览 0提问于2015-07-08得票数 2
回答已采纳
1回答
Web应用程序登录身份验证与安全问题
java、spring、security、tomcat、authentication
我是一个新的Java开发人员,需要一些关于web应用程序(或门户网站)的公开登录认证方法和防火墙上的安全问题的建议或研究材料。请帮助:)谢谢!
浏览 2提问于2014-09-12得票数 0
回答已采纳
1回答
确保MVC应用程序安全,以防ajax和其他攻击
ajax、security、model-view-controller
我有一个完全不安全的mvc应用程序。现在我开始考虑安全性了。因为我使用了几个ajax,所以我会用来弥补这个安全漏洞,这是阻止注入攻击的好方法吗?谢谢你的点子。我确实忘记了一些细节,所以请向我索要!
浏览 0提问于2009-09-28得票数 0
回答已采纳
1回答
请求上下文路径grails spring安全性
tomcat、grails、nginx、spring-security
基本的问题是,我们是否需要以ROOT.war的身份运行我们的war,以使用spring安全来获得正确的上下文路径?我们有一个使用spring安全插件的grails应用程序。www.example.comWar名称是foo.war,nginx将请求代理到http://tomcat:8080/foo
Springsecurity正在使用:${request.cont
浏览 2提问于2012-10-04得票数 0
回答已采纳
1回答
固定基址的openSSL的FIPS模块是否存在安全风险?
openssl、vulnerability、aslr
我个人认为,这是一种安全风险,因为攻击者知道库的确切基址,并可以使用该位置运行攻击。特别是像返回到libc攻击或面向返回的编程这样的攻击。我是不是漏掉了什么??
浏览 0提问于2016-05-25得票数 1
回答已采纳
2回答
Spring安全身份验证管理漏洞
java、spring、security、spring-security
Spring文档说,记住我是通过在cookie中存储以下信息来实现的-
为什么使用不安全的散列(如MD5 )来消化信息,而不是使用SHA-1或SHA-2。为什么不在服务器上维护加密安全的随机数映射和此信息,只将映射密钥作为cookie返回。AFAIK --这是Servlet使用的方法,被认为更
浏览 1提问于2012-04-20得票数 9
回答已采纳
1回答
这个Spring安全图意味着什么?
java、spring、security、spring-mvc、spring-security
我正在研究Spring认证,并将这个Spring安全图的意义关联到文档中:它解释了Spring安全项目的体系结构及其组件之间的交互,但这到底意味着什么?它展示了一个身份验证管理器组件,阅读了我发现的文档,它处理来自框架其他部分的身份验证请求,因此我认为它提供了一些类似于接口的方法来执行自定义操作,并且这个接口将由特定的身份验证提供程序来实现(根据认证技术的选择什么意味着身份验证管理器填充安全上下文。<em
浏览 2提问于2015-01-24得票数 3
回答已采纳
1回答
Android Keystore硬件支持认证三星Galaxy S8不起作用
java、android、android-keystore
我一直试图通过遵循这个来验证一个认证根证书(我已经通过使用生成密钥的Android 应用程序中的()函数来验证密钥本身存储在安全硬件中。)
浏览 0提问于2019-07-24得票数 2
1回答
无法在spring中覆盖snakeyaml库版本
java、spring-boot、snakeyaml
各位,我一直在使用spring引导父版本2.7.5,它公开了snakeyaml jar版本1.30,并且我希望将snakeyaml版本覆盖到1.33,因为sonarent在gitlab管道中的容器安全扫描过程中不抱怨1.30版本的某些漏洞。在依赖项管理标记.下添加了依赖项。
尽管如此,容器安全扫描投诉版本1.30中存在的漏洞,因为它无法覆盖它。虽然生成有效的pom我的本地机器显示,1.33版本的snakeyaml正在被使用。
浏览 18提问于2022-11-22得票数 0
回答已采纳
1回答
Spring安全认证管理器问题
java、spring
public void setUserRoles(Set<User> userRoles) { }
这是我的认证经理
浏览 5提问于2017-03-09得票数 0
回答已采纳
1回答
debug spring安全认证管理器
spring-mvc、spring-security
我正在尝试使用mykong网站上的一个示例来获取Spring安全性……
我使用一个简单的MySQL表让它工作,但现在我尝试使用db2让它工作,其中密码存储在使用md5加密的数据库中。
浏览 0提问于2013-11-26得票数 0
3回答
如何在现有的web应用程序中逐步淘汰密码哈希算法?
security、web-applications、encryption、password-protection
我知道我目前正在开发的应用程序做得不够安全(只是sha1没有盐类或任何东西),但是很难突然改变它。2)重新认证所有用户,丢弃所有密码。
浏览 6提问于2014-07-31得票数 2
回答已采纳
1回答
通知或报告unix系统的安全问题?
exploit、known-vulnerabilities、unix、security-theater、patching
我必须控制所有系统的安全问题,错误,补丁,漏洞。之后,我将更新和检查所有Unix系统。我需要采取通知的Unix系统或我需要管理面板的管理系统。当我搜索网页时,我发现了一个网站:securitytracker.com,它发送电子邮件通知漏洞。此外,我需要报告最新的漏洞,补丁和其他系统。如何管理此系统以应对最新的漏洞?对此有什么建议吗?
浏览 0提问于2013-08-01得票数 1
回答已采纳
5回答
IT安全专业认证
professional-education、certification、people-management
对于IT安全专家来说,IT认证的子列表(按照信息系统安全协会)必须具备哪些证书?CEH认证道德黑客CISM认证信息安全管理器全球信息保证认证AHC反黑客认证CHFI电脑黑客法证调查员CPP认证保护专业人员
软件<e
浏览 0提问于2010-11-11得票数 29
回答已采纳
2回答
如何监视整个公司堆栈中的漏洞?
cve、incident-response、monitoring
假设一家软件公司XYZ正在使用各种第三方供应商--例如,它可以使用:Azure B2C作为公司软件产品的认证框架,作为该软件的日志解决方案的新遗留物在Lastpass / Azure B2C / S3 / New /等等类似的第三方供应商中监视安全事件/漏洞的可能方法是什么。这样XYZ可以在这些漏洞发布后立即了解这些漏洞,而不是在漏洞被公布一个月后在Twitter
浏览 0提问于2023-04-11得票数 1
回答已采纳
3回答
达什车道的安全分析
penetration-test、password-management、risk-analysis
一个用户问我是否建议使用Dashlane密码管理器。我知道其他密码管理器有一些重大的安全问题,包括XSS和CSRF (见下文)。Dashlane密码管理器易受这些问题的影响吗?例如,以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性,并在其中四个中发现了安全漏洞:皇帝的新密码管理器:基于的密码管理器的<em
浏览 0提问于2014-12-09得票数 13
回答已采纳
2回答
轻松更新许多微服务中的构建依赖项
java、spring-boot、architecture、microservices、software-design
如果一个系统由基于Spring的30个微服务组成,并且使用Gradle或Maven作为构建工具,并作为Docker映像分发,那么在所有微服务中更新Spring版本有一个简单的方法吗?更新的原因可能是某些依赖项中存在安全漏洞。例如,依赖于具有漏洞的Tomcat9.0.27(正如一个例子)。Tomcat 9.0.31中修复了该漏洞,因此更新到将解决此问题。此外,使用这种方法,您可以放松对版本管理的控制,并将其委托给Gradle (始终使用最新版本)。要仍然控制依赖项,可以在
浏览 3提问于2020-02-29得票数 5
回答已采纳
云服务器
ICP备案
对象存储
云点播
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号