回答情况:
提问时间:
问题标签:
Content-Type: application/json对于返回敏感数据的服务来说,认识到这种允许的CORS策略是不好的做法,但我必须证明威胁参与者是否有可能代表经过身份验证的受害者调用经过身份验证的REST服务(cookie auth),以便威胁参与者能够看到响应。我理解此标志指示浏览器发送相关的cookie以及跨域请求:我注意到浏览器拒绝允许威胁参与者解释返回的响应,这意味着JSON对象将返回到浏览器(代理或数据包
浏览 0提问于2013-10-04得票数 0
0回答
您好,我正在编写一个线程套接字程序,该程序可能会接收到SIGPIPE信号并退出,如果我捕获该信号并忽略它,程序将具有未定义的行为,因为我不知道如何将其作为错误处理,我如何捕获信号并通知代码的当前位置,它需要从具有错误代码的函数返回,以便程序流继续正常运行,我想威胁SIGPIPE,因为它是读/写系统调用中的错误,因为我知道如何处理读/写错误。
浏览 7修改于2017-06-06得票数 0
我试图在我的驱动程序中使用Etw捕获一些系统,更准确地说,我需要捕获NtWriteVirtualMemory和NtReadVirtualMemory用户模式调用,我尝试使用提供程序:,我使用PerfView来转储Windows101909的威胁性IntelienceXMLforWindows101909(正如微软所说的那样),并检查,但出于某种原因,我的回调只被调用一次(当EtwRegister在DriverEntry
浏览 0提问于2020-02-21得票数 0
回答已采纳
是否有可能在每次高级威胁防护扫描azure存储中的blob时都进行捕获?我知道,如果检测到blob为恶意软件,ATP会在安全中心创建警报。但是,很难知道blob是否已被扫描且未被标记为恶意软件。
浏览 14提问于2020-06-03得票数 1
引用第2步的OWASP应用威胁建模特别指出::威胁树是什么,它与web应用程序的威胁建模中的潜在威胁目标有什么关系?
浏览 0修改于2015-09-04得票数 4
回答已采纳
1回答
如果攻击者设法控制在我的网络上或在我的网络上管理或路由互联网流量的设备之一,例如受威胁的路由器或用于移动互联网的飞信/IMSI捕获器,我如何安全可靠地更新我的计算机(例如,apt-get更新apt-get
浏览 0提问于2018-12-14得票数 1
回答已采纳
我有多个威胁组,每个威胁组执行一个场景(get、post、put请求),每个场景中有不同数量的威胁。每个场景都需要一个X(未知)时间来执行,这取决于它有多少请求。让我举一个例子:
我想要一起执行所有的威胁组,并保持30分钟的负荷。我的问题是,威胁组1-只需2分钟-执行,威胁组2只需3分钟,威胁组3-仅需1分钟。我不能有无限选项勾选,
浏览 0提问于2020-09-02得票数 0
5回答
我有一个表,其列为id、name和威胁&希望对威胁列使用order子句。在按asc对列威胁进行排序时,它首先选择空值(无威胁),然后按desc排序,其第一个值为5(最低威胁)。如果您在这里看到,威胁评分与5显示为顶部,因为SQL发送记录
浏览 0修改于2019-06-11得票数 0
根据ssllabs的SSL/TLS威胁模型:为什么“泄露的CA证书”是一种威胁?我明白,为什么“盗用CA证书”是一种威胁,但为什么“泄露CA证书”是一种威胁?
浏览 0提问于2018-05-19得票数 1
回答已采纳
我希望有一个威胁的一般目录,将最初用于所有用户。该目录有大约100个威胁。这些威胁与其他模型有关,例如AssetType。一个威胁影响多个asset_types,一个asset_type受到多个威胁的影响。
我的问题是,我希望用户修改目录中的威胁,删除威胁和添加威胁,但目录的修改需要只为他自己,而不是为其他用户。、CatalogAssetType和CatalogThreatsAssetTypes,这将是通用目录,当创建新用户时,我会将每个catalog
浏览 3提问于2013-01-24得票数 1
回答已采纳
我正在使用巴别塔的试用版来混淆WinForm应用程序的主输出,这是一个可执行文件,当我运行巴别塔控制台时,诺顿捕获到可执行文件作为一个威胁,声明为SAPE.Heur.9C6D7。
浏览 1提问于2015-10-10得票数 2
以下问题的目的是了解“风险分析”和“威胁建模”之间的关系:对我来说,威胁建模的概念有点模糊。我能得到一个现有的威胁模型的例子吗?
浏览 0修改于2016-11-09得票数 1
我们的开发团队已经掌握了发现威胁的窍门,但还有一个问题是与威胁分解相关的。我们看待威胁分析的方法是,它包括识别适用的威胁,然后确定哪些类型的攻击(无论是XSS之类的攻击,还是错误设计的控制流)可以实现这些威胁。这种威胁分解是很棘手的,因为这个任务的质量取决于分析的目标、执行分析的组的知识(甚至是情绪之类的琐事),以及用于此活动的时间。确定威胁分解的停止条件的可接受方法是什么?这只是时间吗?组织是如何处理这个问题的?
浏览 0提问于2018-09-14得票数 1
回答已采纳
2回答
最先进的商业URL威胁情报源(例如赛门铁克、英特尔安全等)会错过恶意域名吗?(即提供恶意软件的域、利用代码和钓鱼域-以使讨论更加具体。)如果是,为什么?在解决这个问题时,人们面临的技术挑战是什么?我知道人们使用很多方法来进行检测,包括机器学习、用蜜罐捕获数据等在幕后生成这样的提要。我想特别了解哪些技术障碍限制了这些方法的有效性,以及为什么它们错过了它们错过的东西。
浏览 0修改于2015-04-03得票数 1
关于捕获StackOverflowErrors有人写道:“肯定有这样的情况,堆栈溢出可能会使应用程序不一致,就像内存耗尽一样。”StackOverflowErrors有什么特别之处,以至于它们威胁要破坏应用程序的状态,而不是在出现错误的情况下抛出NullPointerException?
浏览 2修改于2017-04-12得票数 9
5回答
与C++异常不同,访问冲突表示应用程序运行时受到威胁,因此应用程序的状态未定义。在这种情况下,最好的做法是退出你的应用程序(通常是为你做的,因为它崩溃了)。
我注意到捕获这些异常之一是可能的。
浏览 2修改于2012-06-20得票数 3
回答已采纳
有许多风险评估准则,如risk 800-30和ISO 27005,提供了已知威胁的目录作为参考。使用定性方法,我选择了一个威胁事件目录,并试图选择适用于我的用例的威胁。据我所知,通过研究系统设计规范,我可以编写一份可能影响系统的威胁列表。但是,我想在我的方法中更加确定,并且说系统是否易受我编译的威胁的影响。我的方法是查看当前部署在系统上的安全控制,通过分析这些控制,我可以说“系统易受X、Y和Z威胁”。我知道我对我的问题有了某种回答,但也许有一种更有方法/有条理的方法?如果有已知
浏览 0修改于2021-10-27得票数 0
在接收WCF响应时可能发生的不同类型的威胁是什么?预防这类威胁的缓解计划可能是什么?
注意:此查询基于WCF威胁建模概念。
浏览 1提问于2013-01-11得票数 1
回答已采纳
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号