回答情况:
提问时间:
问题标签:
我正在探索在脆弱性软件版本<1.7.6.4中找到的PrestaShop (CVE-2020-5250)。有人能解释一下(用哪种方法)这个程序是如何被精确利用的吗?为什么提供补丁是足够的?在用php开发软件时,这是一个常见的错误吗?无法找到有关此主题的任何信息,并认为它将帮助其他开发人员从这一错误中学习。
提前谢谢你!
浏览 0提问于2020-04-02得票数 1
我想分析一下我的Python命令行应用程序是否存在已知的安全漏洞(最好使用用Python编写的工具,为Ubuntu、Mac、Windows 10提供免费的Python跨平台)。现在,我正在使用静态分析器土匪,它基于抽象语法树执行分析。我认识另一个静态分析器pyt,它分析抽象语法树,生成控制流图并对其进行分析。然而,据我所知,它应该是与特定于web框架的适配器一起运行的。有人知道其他Python安全漏洞分析工具吗?
浏览 0修改于2020-12-08得票数 1
回答已采纳
我正在使用JFrog XRay,它扫描了我们的Artifactory,并在第三方库中发现了一个漏洞,这是我的应用程序的一个缺陷。
浏览 0提问于2018-11-15得票数 0
回答已采纳
我计划对软件定义的网络进行漏洞分析。由于业务应用程序和SDN控制器之间的连接将在应用层完成,因此我假设可以通过Burp Suite中的请求操作来探索web攻击。由于OpenFlow交换机和控制器之间的连接是通过SSL进行的,那么漏洞分析也会涉及数据包操作吗?
浏览 0提问于2019-12-19得票数 1
我们希望在公开发布应用程序之前对其进行安全漏洞分析。我们可以使用/购买任何开源/许可工具来满足我们的需求吗?
浏览 1提问于2018-03-15得票数 1
我想知道什么是免费的网络漏洞扫描工具,为Windows.Tools提供,如Netsparker是相当好,但超级昂贵。我知道在Kali Linux中有相当好的工具。哪些优秀的免费Web漏洞扫描工具可用于Windows?
浏览 0提问于2016-12-29得票数 -1
回答已采纳
我知道EG-SHA-256,这是很好的分析和认为是安全的,直到现在。在社区中,scrypt是否被认为是一种安全(可与sha256)密码相媲美的密码?
浏览 0修改于2020-01-16得票数 1
我是黑盒笔测试一个同事的网站上常见的漏洞(主要涉及OWASP的前10位)。如何才能更清楚地了解查询的样子?还是说这完全是主观的,是针对这个案子的呢?我想要找的一个例子是注入SQL的方法,无论它位于何处,都可以依赖于测试漏洞。
注意:如果需要的话,我可以简单地概述一下我已经找到了一个潜在的向量,但是我想解释一下它可能被利用的程
浏览 0提问于2016-11-30得票数 0
每当我在我管理的网站上看到利用漏洞的企图时,我总是试图找出他们试图做什么。其中一些是显而易见的,比如URL请求中的"../..
浏览 16修改于2018-01-26得票数 0
回答已采纳
我来自一个工程背景,在那里我们使用像5倍-为什么或8D的工具进行根本原因分析。
是否有类似的框架对所报告的安全事件进行分析?
浏览 0提问于2018-07-24得票数 0
1回答
从希望针对某个软件应用程序或目标开发零天攻击的人的角度来看,攻击者必须执行以下两项任务:(1)在软件中发现新的可利用漏洞;(2)为该漏洞开发可靠的武器化攻击。例如,模糊分析、反向分析和静态分析可能有助于发现漏洞;但是,构建一个可靠的漏洞需要进行单独的分析和工作。
这两项任务中哪一项的平均成本更高?我想知道这两项任务的经济状况是什么,并了解成本的比例。我知道,如果您查看单个漏洞,代价将取决于漏洞,但我要问的是一般情况。
浏览 0修改于2016-03-24得票数 6
2回答
代码安全审计的工具在哪些场景下可以用,怎么用?
编程算法、安全漏洞
二、源代码安全现状评测依据源代码的安全审计结果、对源代码安全漏洞进行人工审计,并依据安全漏洞问题给出相应的修改优化建议。
希望以上回答可以帮助到你
浏览 547提问于2021-03-16
我正在用C/C++编写的一组库上运行完美查找程序。我有很多由完美查找者生成的警告。我的问题是,我在多大程度上可以依赖这些生成的警告?例如,考虑numpy库()中的以下函数:fortran_doc(FortranDataDef def) char *buf, *p; Py_ssize_t n, origsize, size = 100;
size += strlen(def.doc); origsiz
浏览 14修改于2022-07-23得票数 1
回答已采纳
数据泄漏分析和脆弱性分析之间有什么区别/关系?数据泄漏分析需要进行多大程度和什么样的漏洞测试?
我要给一些移动应用程序的数据泄漏分析报告。至于漏洞和利用漏洞,因此一些恶意方可能会使用复杂而聪明的方式对应用程序进行黑客攻击,并窃取其数据。我知道需要进行一些漏洞分析,例如不应该对发送到服务器的数据进行非加密.但是通常需要进行多深(以及什么样的)漏洞分析?我在上面提到的场景,是否需要这样的测试?
浏览 0修改于2015-02-28得票数 4
回答已采纳
4回答
我的问题与Veracode与Fortify/AppScan使用的静态代码分析方法有关。( A)与源代码相比,对二进制文件进行评审是否有好处/缺点?( B)哪一个提供更多的覆盖范围/漏洞。( C)任何例子都是很好的。
浏览 0提问于2014-05-14得票数 8
3回答
有没有人对它做过独立的安全分析,看看它有哪些共同的问题?例如,以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性,并在其中四个中发现了安全漏洞:皇帝的新密码管理器:基于的密码管理器的安全性分析。这些漏洞范围很广,从花园XSS和CSRF漏洞到基于利用书签的更加模糊的攻击,以及它们可能与恶意Javascript一起在上下文中执行的事实。是否有任何公开可用的Dashlane密码管理器
浏览 0提问于2014-12-09得票数 13
回答已采纳
祝大家十一月快乐,所以我决定做个测试项目然后在这里问。tstImageView release]; [tstImageView release];}当我尝试构建和分析时,clang静态分析器说self.tstImageView = [[UIImageView alloc
浏览 4修改于2011-11-03得票数 2
回答已采纳
是否有一组与JavaScript编程语言密切相关的常见漏洞?我正在寻找的是与堆栈、堆或缓冲区溢出相当的漏洞,这些漏洞与c/c++编程语言密切相关。可以推荐JavaScript上下文中的静态代码分析工具吗?
浏览 0修改于2018-03-28得票数 3
我必须跟踪一个合法(3.12) Linux内核的漏洞。为此,我在NVD这样的网站上搜索新的漏洞。最近,我遇到了一个问题,该漏洞的受影响版本被描述为cpe:/o:linux:linux_kernel:4.4:rc8 and previous versions。但是,当我将LinuxKernelVersion3.12的源代码与针对该漏洞的修复进行比较时,我可以看到,导致该漏洞的修改已应用于较后版本。这就引出了一个问题:
有没有一种方法可以在不手动分析源代码的情况下确定引入漏
浏览 0提问于2016-03-30得票数 4
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号