- 综合排序
- 最热优先
- 最新优先
- 来自专栏科技云报道
漏洞管理受重视,企业如何做好漏洞评估?
那么,针对漏洞管理,企业应当如何做好漏洞及安全风险评估工作呢? 很多企业直到成为网络攻击的受害者,方知网络安全的重要性,但已为时已晚,危害已经产生。 针对漏洞评估 企业能做什么? 对于企业而言,及时发现自身设备及网络的安全漏洞,是进行安全防护的重要前提。 以下措施或许能够帮助到进行漏洞评估的企业。 1.与利益相关者沟通 在进行漏洞评估时,很多人认为扫描过程是其中最重要的部分,但有时并非如此。 与利益相关者进行及时有效的沟通协商也是关键。 4.进行评估 针对漏洞评估,使用什么工具,如何配置它们以及如何执行评估过程因人而异。因此,根据规则来配置工具非常重要。 此外,还应当避免因主动配置扫描操作可能对系统造成的损害。 5. 重视漏洞管理,做好漏洞评估,将为企业网络安全建设带来事半功倍的效果。
2.5K20编辑于 2022-04-16 - 来自专栏FreeBuf
Amazon Inspector:基于云的漏洞评估工具
关于AWS Inspector Amazon Inspector是一种自动化安全评估服务,可根据Amazon云中的合规性评估已部署资源的安全漏洞。 AWS Inspector是一项非常重要的安全评估服务,因为它会生成自动报告,其中包含了所选资源的详细结果。它会根据漏洞的严重程度对漏洞进行优先级排序,从而使你可以轻松了解哪些软件需要立即进行修补。 而AWS inspector则是在所有EC2实例中安装一个代理,然后在内部检查所有可能的漏洞,并提供包含建议缓解措施的详细报告。。 下面给出了配置AWS Inspector所涉及的步骤摘要: 登录EC2实例 在EC2实例上配置inspector agent 通过AWS console配置评估目标 配置评估模板 配置评估规则 执行评估 在上图中我们可以看到,我们必须定义评估目标,因此我们输入了“infosec-test”作为该评估的名称。下一个框定义了评估的范围。默认情况下,添加到此帐户中整个实例都将被添加到scope中。
2.6K30发布于 2019-08-26 - 来自专栏洁癖是一只狗
并发的可达性分析
我们知道JVM是利用可达性分析算法来判断对象是否存活,可达性分析算法理论上要求全过程基于一个能保障一致性的快照中进行分析,这意味着必须冻结用户线程的运行。 我们看到上面图片,当我们进行可达性分析的时候,当扫描到2节点的时候,这个时候,由于用户线程的的干扰,就会变成下面图片 ?
90830发布于 2021-01-29 - 来自专栏FreeBuf
2023版漏洞评估工具Top10
前言 对于发现资产中已知漏洞、配置不当等问题的工具,大家习惯性称之为“漏洞扫描”工具,但随着技术演进,很多工具越来越智能,逐渐具备分析总结能力,因此将它们称为“漏洞评估”工具似乎更准确。 大多数漏洞评估工具都能覆盖常规漏洞,例如OWASP Top10,但一般都各有所长。常见的区分维度包括部署灵活性、扫描速度、扫描准确度以及与流程管理、代码开发等平台的整合性。 主要功能 漏洞评估; 访问公共漏洞数据库; OpenSCAP Base提供经NIST认证的命令行扫描工具,以及图形用户界面便于使用; OpenSCAP Daemon可根据SCAP标准对基础设施进行持续扫描 OpenVAS (终端和网络) 传送门 https://www.openvas.org/ Nessus是Tenable发布的一款全球领先的漏洞评估产品。 而OpenVAS是Nessus的一个开源分支,功能丰富,漏洞来源广泛,可对传统端点和网络进行大规模的漏洞评估。
2.5K20编辑于 2023-02-24 - 来自专栏云基础安全
Web风险评估:腾讯云Web漏洞扫描
一、认识腾讯云Web漏洞扫描 Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站安全。 了解腾讯云Web漏洞扫描: https://cloud.tencent.com/product/cws image.png ---- 二、Web漏洞扫描器价值 目前的大多数应用都是web应用,http web应用漏洞就是利用这个合法的通路,采用SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁最大的漏洞形式就是web应用漏洞,通常是攻击者攻陷服务器的第一步。 常见的漏洞包括SQL注入、跨站脚本攻击、和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。 Web漏洞扫描以黑客视角,通过定期扫描,监测、发现Web应用漏洞,并提供修复建议,帮助加强业务系统安全性,大幅减少Web应用漏洞暴露给网站及Web业务带来的风险问题。
7.4K00发布于 2018-09-09 - 来自专栏信数据得永生
Kali Linux 秘籍 第五章 漏洞评估
第五章 漏洞评估 作者:Willie L. Nessus 允许我们攻击很多种类的漏洞,它们取决于我们的版本。我们也需要评估的目标漏洞列表限制为针对我们想要获取的信息类型的漏洞。 我们也需要评估的目标漏洞列表限制为针对我们想要获取的信息类型的漏洞。这个密集中,我们会配置 Nessus 来发现目标上的网络漏洞。这些漏洞针对主机或网络协议。 5.6 安装、配置和启动 OpenVAS OpenVAS,即开放漏洞评估系统,是一个用于评估目标漏洞的杰出框架。它是 Nessus 项目的分支。不像 Nessus,OpenVAS提供了完全免费的版本。 5.7 OpenVAS - 发现本地漏洞 OpenVAS 允许我们攻击很多种类的漏洞,它们取决于我们的版本。我们也需要评估的目标漏洞列表限制为针对我们想要获取的信息类型的漏洞。
1.2K10编辑于 2022-11-27 - 来自专栏云霄雨霁
有向图----可达性问题
单点可达性:回答“是否存在一条从起点s到给定节点v的有向路径?”等类似问题。 多点可达性:回答“是否存在一条从集合中任意顶点到给定节点v的有向路径?”等类似问题。 顶点对的可达性:回答“是否存在一条从一个给定节点v到给定节点w的有向路径?”等类似问题。 针对单点可达性和多点可达性,使用深度优先遍历很容易实现。 boolean marked(int v) //v是可达的吗 public class DirectedDFS{ private boolean[] marked; //单点可达性 marked[w]) dfs(G,w); } public boolean marked(int v){ return marked[v]; } } 有向图的顶点对之间的可达性: 我们很容易想到通过计算有向图的传递闭包来解决顶点对的可达性问题,但一般来说,一幅有向图的传递闭包中所含的边比原图中多得多,与其明确计算一幅有向图的传递闭包,不如使用深度优先搜索来实现。
2.9K00发布于 2018-05-30 - 来自专栏编程小白狼
Java 中可达性分析算法
其中,可达性分析算法担当着举足轻重的角色,精准判断对象 “生死”,助力 Java 内存实现自动化管理。 手动清理内存对开发者负担太重且易出错,所以 Java 依赖自动垃圾回收(Garbage Collection,简称 GC)机制,而确定哪些对象是垃圾,就是可达性分析算法的 “拿手好戏”。 二、可达性分析算法 “初印象” 这是一种以对象引用关系为脉络,追踪对象存活状态的算法。 Java 可达性分析算法作为内存管理基石,在保障程序稳健运行上居功至伟。 除了可达性分析算法,Java中还有哪些垃圾回收算法?
42310编辑于 2024-12-31 - 来自专栏技术知识总结
JVM:并发的可达性分析
当前主流编程语言的垃圾收集器基本上都是依靠可达性分析算法来判定对象是否存活的,可达性分析算法理论上要求全过程都基于一个能保障一致性的快照中才能够进行分析,这意味着必须全程冻结用户线程的运行。 显然在可达性分析刚刚开始的阶段,所有的对象都是白色的,若在分析结束的阶段,仍然是白色的对象,即代表不可达。黑色:表示对象已经被垃圾收集器访问过,且这个对象的所有引用都已经扫描过。 ---关于可达性分析的扫描过程,可以发挥一下想象力,把它看作对象图上一股以灰色为波峰的波纹从黑向白推进的过程。如果用户线程此时是冻结的,只有收集器线程在工作,那不会有任何问题。 参考资料《深入理解Java虚拟机》第 3 章:垃圾收集器与内存分配策略 3.4.6 并发的可达性分析
65430编辑于 2023-04-11 - 来自专栏耕耘实录
几款Linux系统漏洞扫描、评估工具简介
二、Nessus Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。 Nessus会时常更新,且具有全面报告、主机扫描以及实时漏洞搜索的功能。但是,Nessus也可能会出现误报和漏报。 这是一款收费软件,对于一般用户有7天的使用时间。 官方网站为:nessus.org 三、OpenVAS OpenVAS (Open Vulnerability Assessment System,开放式漏洞评估系统)是一套可用于扫描漏洞和全面漏洞管理的工具和服务系统 OpenVAS 的核心功能是其所提供的安全扫描器,可使用超过 33,000 每日更新的网络漏洞测试(NVT, Network Vulnerability Test )。使用OpenVAS并不需要订阅。 Nikto 不仅可用于检查 CGI 漏洞,还可以躲避的方式运行,以便躲避入侵探测系统。Nikto 所提供完整的文档资料,在运行程序前,应当仔细查核。
4.8K30发布于 2018-12-20 - 来自专栏点点GIS
ArcGIS pro可达性分析
ArcGIS pro可达性分析 数据准备 1.准备数据,首先在gdb里新建一个Feature Dataset image-20221212224206811 2.把路网数据拖到新建的Feature image-20221212224906308 接下来找到Build Network工具,输入刚才的网络数据集,运行 image-20221212225025256 4.生成了可达性的点 image -20221212225157930 5.在Analysis生成一个O-D矩阵 image-20221212225547431 6.生成之后分别导入起始点和重点,用刚才生成的可达性点。 右键新生成的字段,计算属性:用SUM_Total_Length除以道路节点个数 image-20221213213822855 10.将road_network_Junctions与新生成的access可达性表进行连接 : image-20221213215536750 11.搜索克里金Kriging插值,分辨率设置和DEM一致 image-20221213220011061 12.最终可达性结果如图: image
2.7K20编辑于 2023-08-19 - 来自专栏程序猿~
JVM - 并发的可达性算法分析
为了降低线程停顿时间,就需要并发的进行可达性分析。如下就是并发可达性分析的细节。
59110编辑于 2022-05-27 - 来自专栏依乐祝
SQL Server数据库漏洞评估了解一下
SQL Server Management Studio 17.4或更高版本的SSMS中提供了SQL Server漏洞侦测(VA)功能,此功能允许SQL Server扫描您的数据库以查找潜在的安全漏洞, 实战演练 要运行漏洞侦测,只需选择我们需要扫描的数据库,然后右键单击并选择“任务”。在这里,您将看到漏洞评估选项接着选择扫描漏洞。 我真的很喜欢这个特性,并且它是一个方便的脚本,用于以后评估其他服务器的健康状况时使用。它甚至给了我们一个小的复制按钮,以复制出脚本和选项打开它在查询窗口。 ? 基线允许您对结果报告中的错误结果进行接收,这样在下次漏洞扫描的时候这个错误的结果就不会出现在错误列表里面了。 ? 总结 SQL Server漏洞评估是评估数据隐私、安全性和遵从性标准的一个非常好的第三方工具,并且非常容易使用。纸上得来终觉浅,还不赶紧尝试一下,看看数据库存在哪些可以提升的地方吧。
1.3K30发布于 2018-12-28 - 来自专栏竹蜻蜓技术专栏
引用计数法和可达性算法
首先,我们先来认识两个普遍用于判断对象是否被引用的算法:引用计数法和可达性算法。 引用计数法其实很简单,如果对象的计数器为0,就说明对象不再被引用,否则就是再被引用。 可达性算法则是通过判断对象是否能够被GC ROOT访问到来判断对象是否还在被引用。 引用计数法 给对象中添加一个引用计数器,每当有一个地方引用它时,计数器值就加1,当引用失效时,计数器就减1。 虽然可引用计数法很简单,也经常被提及,但是HotSpot虚拟机却不是用这个算法来判断对象是否继续被引用,而是使用下面要介绍的算法:可达性分析算法。 可达性分析算法 在主流商用程序语言的主流实现中,都是称通过可达性分析来判定对象是否存活的。 还有一种就是可达性算法,可达性算法是通过判断引用能够被 GC Roots 访问到来确认回收与否。
3.6K20发布于 2020-07-07 - 来自专栏全栈程序员必看
jvm可达性分析算法_对点网络
IP层叫分片,TCP/UDP层叫分段。网卡能做的事(TCP/UDP组包校验和分段,IP添加包头校验与分片)尽量往网卡做,网卡不能做的也尽量迟后分片(发送)或提前合并片(接收)来减少在网络栈中传输和处理的包数目,从而减少数据传输和上下文切换所需要的CPU计算时间。
2.2K30编辑于 2022-11-15 - 来自专栏朱永胜的私房菜
JVM-可达性分析算法
什么是 JVM 的可达性分析算法? JVM 的可达性分析算法是一种垃圾回收算法,用于确定在程序执行时哪些对象是可访问的,哪些对象是不可访问的,从而判断哪些对象可以被回收释放内存。 可达性分析算法是垃圾回收器判断对象是否存活的核心算法之一。 2. 为什么需要 JVM 的可达性分析算法? 在程序执行过程中,对象之间的引用关系会不断变化。 JVM 的可达性分析算法的优点 简单高效:可达性分析算法使用了根搜索算法,具有简单高效的特点。 JVM 的可达性分析算法的使用注意事项 避免过多的对象引用:过多的对象引用关系会增加可达性分析算法的复杂性和执行时间。 注意对象的生命周期:确定对象的生命周期有助于合理使用可达性分析算法。 8. 总结 JVM 的可达性分析算法是一种用于判断对象存活性的垃圾回收算法。
47520编辑于 2023-11-11 如何有效查看端口可达性
了解如何查看端口的可达性是保障网络安全的重要一环。本文将带领读者深入探讨各种方法,从简单到复杂,从基础到高级,揭示网络通信的神秘面纱。 要检查端口的可达性,可以使用其他工具,如telnet或nc(netcat)。 以下是如何使用Ping和telnet来检查端口可达性的一般步骤: Ping命令: ping [目标IP或域名],用于检查目标主机的网络可达性。 适用场景:适用于检查TCP端口的可达性。 局限性和适用场景: Ping的局限性: 无法直接检查端口,且有些主机可能配置为不响应Ping请求。 这种方法主要用于快速检查端口的可达性,但不能进行复杂的通信。
1.8K10编辑于 2025-05-31对抗样本防御研究中的评估缺陷与代码漏洞分析
该论文包含数学上不可能的声明,未遵循对抗鲁棒性评估的推荐指南,且其自身图表就提供了评估方法错误的所有必要证据。调查发现,该论文的评估代码存在漏洞。仅修改一行代码即可攻破防御,将模型准确率降为0%。 在将漏洞告知作者后,作者提出了新的防御组件来防止此攻击。但这个未在原始论文中描述的新组件存在第二个漏洞。同样,通过修改一行代码,可以攻破这个修改后的防御。作者表示正在为第二次攻击制定另一个修复方案。 针对特定防御论文的故事:论文被顶级会议接受后,作者在被告知漏洞后修改防御机制,但修改后的版本仍存在漏洞,且无法提供修复细节。这两个问题并非该论文独有。 故事二:存在漏洞的论文回到今年发表的防御论文,这是一个九头蛇般的论文故事:每次攻破当前描述的防御,它就会长出一个需要评估的新防御组件。攻破防御当防御评估存在严重缺陷时,通常很容易攻破。 在评估防御方面,撰写了一篇又一篇关于如何执行此类评估的论文。甚至写了一篇主要目标是帮助评审者知道防御评估何时足够好的论文。
28810编辑于 2025-08-26- 来自专栏技术趋势
JVM可达性分析是怎么GC的?
可达性分析是什么? 可达性分析是用来判断对象是否存活,通过"GC Roots"作为起点,从这个节点往下搜索,如果有有引用,则这个对象是存活的,如果没有则判定可回收的对象。 JVM可达性分析解决了什么问题? 可达性分析解决了引用计数法(reference counting)导致的循环引用对象及繁琐更新操作需要额外的空间问题。 JVM可达性分析是怎么GC的? } else { System.out.println("no, i am dead :("); } } } java垃圾回收默认就是可达性标记对象是否存活
1.1K20发布于 2021-07-29 - 来自专栏第二层思考
Nginx 和 OpenResty 内存泄漏和目录穿越漏洞的安全评估
2020 年 3 月 18 号,hackerone 披露了两枚关于 Nginx 和 OpenResty 的漏洞,分别涉及到内存泄漏和目录穿越,详细的内容大家可以参考 hackerone (https:/ OpenResty 的 rewrite 指令,以及 ngx.req.set_uri 没有检测非法输入值,会导致内存泄漏和目录穿越,危险等级:高危 其中,第二个低危的漏洞,Nginx 已经在 1.17.7 而且这个漏洞在 Nginx 这种静态配置文件驱动的 web 服务器上很难被利用,除非是用户自己配置了非法字符。 但是,1 和 3 这两个高危的漏洞在报告给 Nginx 和 OpenResty 之后的三、四个月的时间内,一直没有被修复。以下是漏洞披露时间线: ? 在得知这个安全风险的第一时间,Apache APISIX 的 PPMC 团队就立即针对 Apache APISIX 的风险做了评估,结论是:低危,用户不用做任何处理。
2.6K10发布于 2020-03-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号