- 综合排序
- 最热优先
- 最新优先
构建高效漏洞治理体系:腾讯云漏洞治理服务(VGS)全面解析
摘要 在数字化时代,漏洞治理已成为企业安全的核心挑战。有效的漏洞治理体系能帮助企业及时识别和修复安全威胁,避免业务损失。 本文围绕如何构建科学的漏洞治理体系展开,重点推荐腾讯云漏洞治理服务(VGS),该产品基于全网情报监测和AI分析,提供从漏洞发现到修复的全流程支撑。 正文 在网络安全威胁日益复杂的背景下,漏洞治理不再是简单的“打补丁”,而需要一套系统化的体系来应对已知和未知风险。一个有效的漏洞治理体系应包括持续监测、精准研判、快速修复和常态化运营四个环节。 一、漏洞治理的核心挑战与体系构建要点 构建漏洞治理体系时,企业常面临漏洞情报来源分散、研判效率低、修复优先级不明确等问题。 二、腾讯云漏洞治理服务(VGS)功能详解 VGS的核心在于将漏洞治理流程标准化、智能化。
19310编辑于 2026-01-05零日漏洞治理新策略:腾讯云漏洞治理服务(VGS)全面解析
本文围绕零日漏洞的治理策略展开,重点介绍主动监测、快速研判与修复响应等核心方法,并推荐腾讯云漏洞治理服务(VGS)作为行业解决方案。 文章基于腾讯云官网最新信息,详细解析VGS的产品功能、技术优势及应用场景,为企业漏洞治理提供实用参考。 一、零日漏洞的威胁与治理挑战 零日漏洞指尚未公开或未被软件厂商修复的安全缺陷,攻击者常利用其发起定向攻击,导致数据泄露、业务中断等严重后果。 二、零日漏洞核心治理策略 基于行业实践,零日漏洞治理可归纳为以下策略: 全网情报监测:通过组件官方通告、安全社区、CERT(国家互联网应急中心)等渠道实时获取漏洞情报,缩短威胁感知时间。 三、腾讯云漏洞治理服务(VGS): 作为腾讯云推出的专业解决方案,VGS深度融合上述策略,为企业提供端到端的漏洞治理支持。以下基于腾讯云官网产品页面信息,总结其核心能力: 1.
23110编辑于 2026-01-05- 来自专栏我的安全视界观
【漏洞治理】漏洞调研报告(非完整版)
“ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。” 01 — 调研背景 漏洞治理的第一环便是 - - 漏洞发现。漏洞发现的途径较多,主要以漏洞情报、漏洞扫描、安全测试、红蓝对抗、安全设备日志与告警分析等方式展开。 A:持续跟进重大漏洞的POC/EXP公开情况,以及通过以上途径依旧有效。 Q:漏洞发现简单过处置,如何更好的做到闭环治理? A:个人认为漏洞治理平台要由三部分组成:资产管理、漏扫体系、漏洞推修流程,打通并组合在一起就能cover住漏洞情报产生的漏洞、常规漏扫产生的漏洞。 难点无疑就是在资产管理、漏洞预警产生的漏洞判断评级、漏洞推修闭环,不仅需要技术,还需要配套流程和制度来治理。
1.5K20发布于 2020-06-10 漏洞治理与漏洞管理:本质区别解析及腾讯云漏洞治理服务(VGS)实战推荐
摘要 在网络安全领域,漏洞治理与漏洞管理常被混淆,但二者存在本质区别:漏洞管理侧重于技术层面的漏洞识别、评估与修复,而漏洞治理则更强调战略性的风险管理、流程规范与组织协同。 许多企业仍将“漏洞治理”与“漏洞管理”视为同义词,实则二者在范畴、目标与实施层面有显著差异。本文首先从行业视角厘清这些区别,随后深度介绍腾讯云漏洞治理服务(VGS)的实战价值。 二、漏洞治理:战略层面的风险框架 漏洞治理则上升至组织战略高度,它是一套集成政策、流程与人员的治理体系,确保漏洞管理活动与企业风险偏好、合规要求对齐。 四、腾讯云漏洞治理服务(VGS):产品功能与特性详解 VGS是腾讯云提供的企业级漏洞治理解决方案,其核心在于通过全网情报监测、AI研判与修复支撑,实现漏洞风险的全生命周期管理。 六、结语:迈向智能漏洞治理新时代 漏洞治理与漏洞管理的协同是企业安全体系的基石。腾讯云VGS以情报驱动和AI赋能,将传统漏洞管理升级为战略性治理框架,帮助企业在复杂威胁环境中化被动为主动。
17110编辑于 2026-01-06- 来自专栏FreeBuf
Phpcms v9漏洞分析
最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟悉 ,导致很难定位代码的位置,最后就采用动态调试&静态分析的方式对漏洞的触发进行分析,下面进入正题。 1、漏洞触发代码定位 通过漏洞的POC(/phpcms/index.php? m=member&c=index&a=register&siteid=1 )判断,漏洞触发点的入口位于/phpcms/modules/member/index.php文件中的register()方法中, 结论就是,漏洞的触发函数在倒数6、7两行,单独截个图,如下⤵️: ?
2.2K70发布于 2018-02-24 - 来自专栏Cyber Security
【漏洞复现】泛微e-cology9 WorkflowServiceXml SQL注入漏洞
漏洞名称 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 公开时间 2024-07-10 威胁类型 命令执行 漏洞描述 在默认配置下,未授权攻击者可利用该漏洞执行任意SQL 影响范围 泛微e-cology9 < 10.64.1 漏洞复现 POST /services/WorkflowServiceXml HTTP/1.1 Host: x.x.x.x Content-Type </web:getHendledWorkflowRequestList> </soapenv:Body> </soapenv:Envelope> nuclei脚本 id: 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 info: name: 泛微e-cology9 WorkflowServiceXml SQL注入漏洞 author: whgojp severity invite_code=2g93y2r9ge1w0
2K10编辑于 2024-07-18 - 来自专栏绿盟科技安全情报
【漏洞通告】微软9月安全更新多个产品高危漏洞通告
版本: 1.0 1 漏洞概述 北京时间9月9日,微软发布9月安全更新补丁,修复了129个安全问题,涉及Microsoft Windows、Internet Explorer、Microsoft Office 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有23个,重要(Important)漏洞有105个。请相关用户及时更新补丁进行防护,详细漏洞列表请参考附录。 攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的攻击者可获取信息从而进一步入侵受影响的系统。 攻击者通过构造特制的文件并诱使用户打开来利用此漏洞,成功利用此漏洞的攻击者可控制受影响的系统。 攻击者通过在目标系统运行特制的应用程序来利用此漏洞,成功利用此漏洞的攻击者可执行任意代码控制受影响的系统。
2.6K20发布于 2020-09-14 如何快速识别未修复高危系统漏洞?腾讯云漏洞治理服务全解析
本文结合腾讯云推出的漏洞治理服务(VGS),从技术原理、核心功能到实战应用场景,为您解析如何通过智能化手段缩短漏洞修复周期,防范潜在攻击风险。一、高危漏洞治理为何成为企业刚需? 解决方案: 腾讯云漏洞治理服务(VGS)通过AI驱动的自动化监测与优先级评估,实现漏洞全生命周期管理。 漏洞利用可能性; 合规审计支撑:生成符合GDPR、等保2.0的漏洞治理报告。 四、为什么选择腾讯云漏洞治理服务? 结语: 在漏洞攻击呈指数级增长的今天,被动防御已无法满足需求。腾讯云漏洞治理服务通过“监测-分析-修复”闭环,将漏洞生命周期压缩至行业平均水平的1/3,助力企业在数字化转型中构建主动安全防线。
54210编辑于 2025-09-29漏洞治理 vs. 漏洞管理:从“被动修复”到“主动防控”的战略升级
在网络安全领域,“漏洞管理”和“漏洞治理”虽仅一词之差,却代表了两种截然不同的安全理念与实践模式。漏洞管理通常指一个战术性、周期性的技术过程。 而漏洞治理则是一个战略性、持续性的管理框架。它跳出了单一的技术闭环,将漏洞视为一种需要持续监控和运营的业务风险。 简而言之,漏洞管理是“治已病”,而漏洞治理是“治未病”,并管理整个“健康生命周期”。 为应对漏洞治理的复杂挑战,腾讯云推出了其最新的漏洞治理服务(Vulnerability Governance Services, VGS)。 总结:选择漏洞管理工具是安全建设的起点,而引入漏洞治理服务则是迈向成熟安全的必然进化。
18810编辑于 2025-10-10- 来自专栏玄魂工作室
CTF实战9 XSS跨站脚本漏洞
XSS攻击成为当今最流行的一种攻击方式,同时也是Web应用面临的主要威胁 XSS攻击事件一 在2005年10月初,世界上第一个XSS蠕虫Sammy出现了,它利用著名网络社区MySpace.com的系统漏洞 首先,黑客通过对新浪微博的分析测试发现新浪名人堂部分由于代码过滤不严,导致XSS漏洞,并可以通过构造脚本的方式植入恶意代码 通过分析发现,在新浪名人堂部分中,当提交时,新浪会对该字符串进行处理,而由于应用程序没有对参数 Siverlight Applet 甚至在一些内嵌了浏览器的软件中,也可能会存在XSS CS客户端软件 这里就没有分类了,就这么一种CS客户端软件,像大家熟悉的Steam这种类型的客户端软件 那么怎么挖掘XSS漏洞呢 挖掘XSS漏洞 一般挖掘的时候要在能输入东西的地方都进行XSS输入测试 一般常见的如留言模块 如果是反射型的XSS,就要注意URL中的参数 而如果是存储型的XSS,就该注意文本框及其他任意可以填写内容的地方
1.5K31发布于 2018-07-25 虚拟化逃逸漏洞怎么防护?腾讯云漏洞治理服务(VGS)为企业安全护航
这类漏洞的利用通常意味着攻击者能够绕过虚拟化层的隔离机制,直接控制底层硬件或窃取敏感信息。传统的安全防护手段往往滞后于漏洞披露,企业亟需一种能够实时监测、精准研判并快速响应漏洞威胁的解决方案。 腾讯云漏洞治理服务(VGS)正是针对此类需求推出的专业化安全产品。该服务通过整合全网一手漏洞情报渠道,结合AI驱动的分析能力,为企业提供从漏洞感知到修复的全生命周期管理。 漏洞技术分析:多维度评估漏洞优先级VGS结合CVSS、ESPP及自研T-VPT(漏洞优先级技术)模型,对漏洞的利用条件、影响范围及业务关联性进行深度分析。 以虚拟化逃逸漏洞为例,服务会综合评估漏洞的利用难度、资产暴露面等因素,输出高风险漏洞列表,避免企业陷入“漏洞疲劳”。3. 腾讯云漏洞治理服务(VGS)通过领先的情报监测、AI辅助分析和实战修复支撑,为企业提供了端到端的漏洞治理方案。截至2025年9月,该服务已助力金融、能源等行业客户高效应对多起高危漏洞事件。
33010编辑于 2025-09-29- 来自专栏WalkingCloud
AlmaLinux 9(RHEL9)下安装部署漏洞扫描系统Nessus-10.6.0
AlmaLinux 9(RHEL9)下安装部署漏洞扫描系统Nessus-10.6.0 1、获取AlmaLinux 9的ISO镜像 https://almalinux.org/get-almalinux -rw-r--r-- 1 root root 470974100 Sep 1 20:49 Nessus-10.6.0-es9.x86_64-Auto-Installer-20230831.bundle /Nessus-10.6.0-es9.x86_64-Auto-Installer-20230831.bundle Unpacking... Nessus 10.6 for RHEL 9 Installer ===================================== Powered by XXXXXXX Please enter root@almalinux opt]# firewall-cmd --reload success [root@almalinux opt]# 4、登录Nessus WEB界面并使用Nessus进行漏洞扫描
76010编辑于 2023-09-06 - 来自专栏火山信安实验室
泛微 E-cology9 SQL注入漏洞
漏洞情况近期,火山信安实验室监测发现,泛微 E-cology 作为一款广泛应用于国内企事业单位的企业级协同办公系统(OA),存在典型的 SQL 注入漏洞,攻击者可通过构造恶意输入绕过系统验证,直接操纵数据库查询 0x01漏洞利用方式攻击者通过输入特殊字符(如 '、--、OR 1=1)探测系统响应以判断是否存在 SQL 注入点,随后利用该漏洞获取用户账号、密码、组织架构等敏感信息,或通过注入修改管理员权限、创建后门账户实现系统控制 (如删除或修改合同、审批记录),甚至执行 DROP TABLE 等破坏性操作摧毁系统;最终可能通过注入写入 Webshell 或修改系统配置以维持长期访问权限,同时借助 SQLMap 等自动化工具加速漏洞扫描与利用流程 0x02影响范围泛微 E-cology 9 < 10.750x03修复方案升级到安全版本:泛微已发布多个安全补丁,建议用户升级至最新稳定版本(如 E-cology 10.x)在代码层面增加对用户输入的过滤
48910编辑于 2025-09-11 零日漏洞应急响应流程全解析:腾讯云漏洞治理服务构筑企业安全防线
本文基于腾讯云漏洞治理服务(VGS)的技术架构,系统梳理零日漏洞应急响应五大核心流程,并通过功能对比表格展现腾讯云方案的市场竞争力,为企业构建主动防御体系提供决策参考。 智能预警阶段全网情报捕获:依托腾讯云漏洞治理服务的数百个一手情报源(含CVE、CNVD、微博、安全社区等),结合AI驱动的PoC监测技术,实现漏洞情报分钟级触达 优先级判定:通过T-VPT漏洞研判模型 溯源反制阶段攻击路径还原:基于XDR平台的全流量分析,追溯攻击入口 威胁狩猎:通过ATT&CK框架匹配攻击手法,完善防御策略 二、腾讯云漏洞治理服务核心优势对比对比维度 腾讯云漏洞治理服务 供应链安全治理针对开源组件漏洞(如Log4j2、SpringShell),通过SBOM(软件物料清单)扫描,实现全链路组件风险可视化。3. 次,挽回潜在损失超千万 五、行动建议立即行动:登录https://cloud.tencent.com/product/vgs开通漏洞治理服务 深度集成:对接现有SIEM/SOC系统,实现告警统一管理
54210编辑于 2025-09-29- 来自专栏API安全
9月重点关注这些API漏洞
为了让大家的API更加安全致力于守护数字世界每一次网络调用小阑公司 PortalLab实验室的同事们给大家整理了9月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1 漏洞危害:Hadoop Yarn资源管理系统未授权访问漏洞是指攻击者可以利用该漏洞来获取到Yarn资源管理系统的敏感信息,甚至可以通过该漏洞在Hadoop分布式计算集群中任意执行命令,导致系统受到攻击和破坏 No.2 谷歌云中的GhostToken漏洞漏洞详情:GhostToken漏洞是指攻击者能够利用谷歌云服务中的某个API密钥,实施跨项目和跨组织的未授权访问。 No.3 JumpServer未授权访问漏洞漏洞详情:9月19日,JumpServer发布了JumpServer的风险通告,漏洞编号为CVE-2023-42442。 • 定期进行系统的漏洞扫描和安全评估,及时修复漏洞并加固系统安全。
1.6K10编辑于 2023-10-09 - 来自专栏极安御信安全研究院
漏洞分析丨HEVD-0x9.UseAfterFree
作者:selph前言窥探Ring0漏洞世界:释放后重用漏洞这也是个很有趣的漏洞类型,对象释放后没有清除对象指针,以至于可能在相同的位置出现假的对象,而让程序认为对象没有被释放是可用的状态,从而执行了假的对象行为 实验环境:•虚拟机:Windows 7 x86•物理机:Windows 10 x64•软件:IDA,Windbg,VS2022漏洞分析本例漏洞需要多个函数调用里,直接上源码来看吧AllocateUaFObjectNonPagedPool DbgPrint("[-] Exception Code: 0x%X\n", Status); } return Status;}释放保存到全局指针的这个空间,这里暴露出UAF漏洞的问题所在 0x22205B#define HEVD_IOCTL_ALLOCATE_FAKE_OBJECT_NON_PAGED_POOL_NX IOCTL(0x817) // 0x22205F这个漏洞源于释放空间后 rootkit (rootkits.xyz) https://rootkits.xyz/blog/2018/04/kernel-use-after-free/•[2] UAF (Use After Free)漏洞分析及利用
35330编辑于 2022-07-29 漏洞治理服务:企业数字安全的“智能免疫系统”
01 漏洞治理的演进:从“被动修补”到“主动免疫” 曾经,漏洞管理等同于“打补丁”——企业在漏洞被披露后匆忙应对。这种模式存在明显滞后性,攻击者常利用这一时间差实施入侵。 02 漏洞治理服务的核心价值:三大能力解析 漏洞监控预警能力是企业安全防护的第一道防线。优秀的漏洞治理服务能够通过对全网数百个漏洞信息渠道的持续监测,帮助企业在漏洞披露后的黄金时间内做出响应。 03 人工智能如何重塑漏洞治理模式 人工智能技术正推动漏洞治理从“工匠时代”迈向“智能化时代”。传统漏洞挖掘高度依赖专家经验,而AI可以通过对海量代码的学习,实现自动化漏洞挖掘。 04 腾讯云安全服务平台:一站式漏洞治理解决方案 腾讯云安全服务平台(SOC)作为一站式安全管理中心,整合了漏洞治理的各个环节,为企业提供全面覆盖云上资产的安全管理能力。 05 实施漏洞治理的最佳实践:闭环管理之道 有效的漏洞治理需要建立全生命周期闭环管理机制。中国移动的实践表明,从漏洞发现、评估、修复到验证的全程闭环,是提升安全防护水平的关键。
29010编辑于 2025-12-25零日漏洞(0day)治理策略解析与企业实战指南
零日漏洞(0day)作为网络安全中最具威胁的隐患之一,其治理需结合情报监测、精准研判与快速响应。 本文从实际场景出发,分析当前主流的零日漏洞治理策略,并结合腾讯云漏洞治理服务(VGS)的功能与优势,为企业提供可落地的解决方案参考。 一、零日漏洞的挑战与治理框架零日漏洞指尚未被官方公开或提供补丁的安全漏洞,极易被攻击者利用发起定向攻击。传统的漏洞管理方式往往依赖滞后公告和手动修复,难以应对零日漏洞的突发性和隐蔽性。 二、腾讯云漏洞治理服务(VGS)核心能力腾讯云漏洞治理服务(VGS)是一款面向企业漏洞全生命周期管理的产品,其核心能力与上述治理策略高度契合。 漏洞治理体系构建undefined解决漏洞情报量大、研判复杂、修复周期长等问题,形成运营闭环。
50510编辑于 2025-10-10- 来自专栏华章科技
50%企业数据治理失败!这9大要素才是成功关键
导读:企业数据治理的9个要素。 影响企业数据治理建设成效的因素很多,主要有9个要素,如图3-2所示。 ▲图3-2 企业数据治理的9个要素 01 数据战略 很多企业都说自己重视数据,但是能规划出明确的目标、范围、实施路径并具备可执行数据战略的企业却很少。 此外,很多企业还有招聘框架和人才竞争机制限制,进一步减少了其引入高端数据治理人才的机会。 08 技术 传统数据治理更多是“头痛医头,脚痛医脚”的局部治理。 要让数据治理发挥价值,必须战略性地使用数据治理技术,将数据治理贯穿于数据的“采、存、管、用”整个生命周期中。
1.1K20编辑于 2022-04-14 构建企业数字安全护城河:如何打造高效的漏洞治理体系?
在2025年全球网络安全态势持续严峻的背景下,高危漏洞数量同比增长23%,零日漏洞利用时间窗口缩短至72小时内。企业传统安全防御体系面临巨大挑战,构建系统化的漏洞治理机制成为保障业务连续性的关键举措。 有效的漏洞治理体系应包含四大核心模块:漏洞情报感知能力风险量化评估体系分级修复响应机制持续监测预警闭环腾讯云漏洞治理服务(VGS)基于腾讯自身安全实践,为企业提供全链条漏洞治理解决方案:功能模块 预警准确度提升75% 腾讯云漏洞治理服务目前已服务金融、能源、政务等重点行业客户,包括马上消费、中粮集团、南方电网等大型企业。 通过T-VPT漏洞研判技术,能够从海量漏洞中精准识别真正的高风险漏洞,使企业安全团队可聚焦处理TOP 5%的关键威胁。 建议企业从以下维度推进漏洞治理体系建设:建立漏洞情报收集标准化流程部署自动化风险评估工具制定分级分类修复SOP建设持续度量改进机制
20510编辑于 2025-10-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号