- 完整做完一套产品,转移到另一套产品,其实并没有太大难度,有很多都是思考方式与设计方式都是相似的,比如流量+规则+引擎+结果运营的核心模式。当然还有一部分没有写到,比如生态级互联网企业中,把扫描器封装成只提供服务的产品、给业务BP使用的相关功能(一般是SAAS模式);把扫描器封装成独立部署的硬件产品相关功能。 完整做完一套产品,转移到另一套产品,其实并没有太大难度,有很多都是思考方式与设计方式都是相似的,比如流量+规则+引擎+结果运营的核心模式。当然还有一部分没有写到,比如生态级互联网企业中,把扫描器封装成只提供服务的产品、给业务BP使用的相关功能(一般是SAAS模式);把扫描器封装成独立部署的硬件产品相关功能。
- 代码通用性低、高度耦合,遇到bug时排查成本极高,比如遇到这个流量怎么会有这样的输出结果、怎么会报错这类问题时,往往花半天一天追踪流量。 代码通用性低、高度耦合,遇到bug时排查成本极高,比如遇到这个流量怎么会有这样的输出结果、怎么会报错这类问题时,往往花半天一天追踪流量。
- 有很长一段时间,web的无效任务集中在qps超限后的操作,也就是第三篇 2.1.4的内容。qps控制不能单单的控制到任务、或者是域名层面,而是为了满足大流量情况,尽可能控制到接口层面,尽可能用可以用的、业务用剩下的qps,这就需要控制的单位往扫描引擎流程后移,尽可能的控制力度更细。 有很长一段时间,web的无效任务集中在qps超限后的操作,也就是第三篇 2.1.4的内容。qps控制不能单单的控制到任务、或者是域名层面,而是为了满足大流量情况,尽可能控制到接口层面,尽可能用可以用的、业务用剩下的qps,这就需要控制的单位往扫描引擎流程后移,尽可能的控制力度更细。
- 无害化,是扫描器不同于SAST/IAST的一个难点(当然IAST有部署上的性能问题,偶尔的OOM、过高的资源占用也是大问题),是生存下去的必须考虑的一个点。扫描要有产出、要有效率,而业务侧更注重安全、有无业务影响,尤为重要,毕竟谁也不想业务一出问题先来问问是不是安全部门的扫描器。业务影响的大体场景分类,个人还是分成针对web接口扫描和主机端口扫描造成的业务影响。 无害化,是扫描器不同于SAST/IAST的一个难点(当然IAST有部署上的性能问题,偶尔的OOM、过高的资源占用也是大问题),是生存下去的必须考虑的一个点。扫描要有产出、要有效率,而业务侧更注重安全、有无业务影响,尤为重要,毕竟谁也不想业务一出问题先来问问是不是安全部门的扫描器。业务影响的大体场景分类,个人还是分成针对web接口扫描和主机端口扫描造成的业务影响。
- 扫描器的规则主要有两种类型:针对接口的web漏洞,通常是通用型漏洞,OWASP TOP 10,sql注入、xss、ssrf、xxe等,以下简称web规则;针对主机(包括整个站点)的漏洞,通常是特定框架/应用/组件的0day/nday漏洞,以下简称主机规则 扫描器的规则主要有两种类型:针对接口的web漏洞,通常是通用型漏洞,OWASP TOP 10,sql注入、xss、ssrf、xxe等,以下简称web规则;针对主机(包括整个站点)的漏洞,通常是特定框架/应用/组件的0day/nday漏洞,以下简称主机规则
- 如果作为一个服务提供给业务使用,并没有这个问题。而想要全面hold住,业务线很多,每个业务线下的业务可能需要的账号权限都不一样。即使有统一的passport,同一个账号,这个业务有没有开VIP,那个业务有没有认证(用户的实名认证、微信绑定,商家的营业执照认证等等),场景繁多,意味着需要一套持续维护的登录服务,账号、密码、自动登录的页面和验证码破解。召回时不断添加,实在繁琐,运营成本极大 如果作为一个服务提供给业务使用,并没有这个问题。而想要全面hold住,业务线很多,每个业务线下的业务可能需要的账号权限都不一样。即使有统一的passport,同一个账号,这个业务有没有开VIP,那个业务有没有认证(用户的实名认证、微信绑定,商家的营业执照认证等等),场景繁多,意味着需要一套持续维护的登录服务,账号、密码、自动登录的页面和验证码破解。召回时不断添加,实在繁琐,运营成本极大
- 如今的开源软件包含来自80%的代码库的代码。在这些代码库中,有81%的代码库至少存在一个漏洞,同时还有85%的代码库甚至包含过时四年的开源组件。然而尽管存在这些担忧,但软件供应链安全和开源软件组件中的漏洞占问题的四分之一左右。报告称,在 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。 如今的开源软件包含来自80%的代码库的代码。在这些代码库中,有81%的代码库至少存在一个漏洞,同时还有85%的代码库甚至包含过时四年的开源组件。然而尽管存在这些担忧,但软件供应链安全和开源软件组件中的漏洞占问题的四分之一左右。报告称,在 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。
- 提交漏洞成功的时候,经常需要填漏洞危害和整改意见。这篇文章没啥技术含量,就是把这些知识粘在一起,内容均来自互联网。还在补充中这篇文章挺全的常规web渗透测试漏洞描述及修复建议@toc SQL注入危害(1)攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。(2)可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。(3)如果网站目录存在写入权限... 提交漏洞成功的时候,经常需要填漏洞危害和整改意见。这篇文章没啥技术含量,就是把这些知识粘在一起,内容均来自互联网。还在补充中这篇文章挺全的常规web渗透测试漏洞描述及修复建议@toc SQL注入危害(1)攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。(2)可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。(3)如果网站目录存在写入权限...
- 加密是保持数据安全的通用过程。在这篇文章中,我们将探索不同的加密方法,以便您可以将信息安全地存储在数据库中。 加密是保持数据安全的通用过程。在这篇文章中,我们将探索不同的加密方法,以便您可以将信息安全地存储在数据库中。
- 随着每个人都转移到云上,人们对DevOps以及它如何使流程更快、更容易、更高效进行了大肆宣传。作为一名开发人员,我喜欢让事情变得更容易。作为一个安全方面的人,我感到害怕的是,没有强调安全地转移到云上。输入devsecops。DevSecOps是关于在软件开发生命周期(SDLC)的早期引入安全性的。目标是通过让参与SDLC的每个人都对安全性负责来开发更安全的应用程序。我喜欢这个。让商业、技术和... 随着每个人都转移到云上,人们对DevOps以及它如何使流程更快、更容易、更高效进行了大肆宣传。作为一名开发人员,我喜欢让事情变得更容易。作为一个安全方面的人,我感到害怕的是,没有强调安全地转移到云上。输入devsecops。DevSecOps是关于在软件开发生命周期(SDLC)的早期引入安全性的。目标是通过让参与SDLC的每个人都对安全性负责来开发更安全的应用程序。我喜欢这个。让商业、技术和...
- 漏洞分析,网络安全 漏洞分析,网络安全
- 介绍加密是对消息或信息进行编码以便只有授权方可以看到它的过程。加密已经进行了几个世纪。例如,在第二次世界大战中,盟军使用不成文的纳瓦霍语发送加密代码,日本人无法解码。今天,加密变得更加重要,因为我们生活在一个隐私和安全不断受到想要访问我们个人生活的黑客攻击的时代。得益于 AES 加密等现代技术,黑客没有理由阅读敏感信息。加密是保持数据安全的通用过程。在这篇文章中,我们将探索不同的加密方法,以... 介绍加密是对消息或信息进行编码以便只有授权方可以看到它的过程。加密已经进行了几个世纪。例如,在第二次世界大战中,盟军使用不成文的纳瓦霍语发送加密代码,日本人无法解码。今天,加密变得更加重要,因为我们生活在一个隐私和安全不断受到想要访问我们个人生活的黑客攻击的时代。得益于 AES 加密等现代技术,黑客没有理由阅读敏感信息。加密是保持数据安全的通用过程。在这篇文章中,我们将探索不同的加密方法,以...
- 很多用户从最开始接触电脑的时候就了解过网络安全问题,我们熟知的病毒、黑客、漏洞等都是比较常见的网络安全威胁,那么有什么办法可以预防这些网络安全问题吗?网络安全技术毫无疑问是预防安全威胁的最有效措施,但市面上各种网络安全技术种类驳杂,他们的防范效果和效率到底哪个更高呢?下面带大家来了解漏洞扫描相关的网络安全技术内容。漏洞扫描真的可以防范网络安全问题吗?很多人会产生这个疑问,最直接的原因就是在很... 很多用户从最开始接触电脑的时候就了解过网络安全问题,我们熟知的病毒、黑客、漏洞等都是比较常见的网络安全威胁,那么有什么办法可以预防这些网络安全问题吗?网络安全技术毫无疑问是预防安全威胁的最有效措施,但市面上各种网络安全技术种类驳杂,他们的防范效果和效率到底哪个更高呢?下面带大家来了解漏洞扫描相关的网络安全技术内容。漏洞扫描真的可以防范网络安全问题吗?很多人会产生这个疑问,最直接的原因就是在很...
- 本文尝试从多个视角一起探讨一下漏洞扫描业务相关的诸多基本问题。 本文尝试从多个视角一起探讨一下漏洞扫描业务相关的诸多基本问题。
- 微软2月份月度安全漏洞预警(含多个高危漏洞) 微软2月份月度安全漏洞预警(含多个高危漏洞)
上滑加载中
推荐直播
-
深度解析鸿蒙应用入门级开发者认证2024/12/04 周三 16:00-18:00
Edi 华为云学堂技术讲师
本期直播将为开发者带来HCCDA-HarmonyOS&Cloud Apps认证课程系统介绍、详细阐述HarmonyOS 技术架构、理解HarmonyOS 技术理念,通过实例带领开发者应用快速上手。
回顾中 -
鸿蒙应用入门:轻松掌握ArkTS开发语言2024/12/05 周四 16:00-18:00
Edi 华为云学堂技术讲师
本期直播课旨在让开发者了解ArkTS语法、轻松掌握ArkUI组件开发,带你零门槛入门鸿蒙开发,掌握状态管理实验和渲染控制实验。
即将直播 -
人工智能应用测试深度解析:理论基础与实践应用指南2024/12/06 周五 14:30-16:30
Alex 华为云学堂技术讲师
本期直播主要结合理论及人工智能的相关实验,给大家讲述AI应用测试的主要流程和方法。帮助开发者了解AI应用测试的理论及方法,和AI应用测试在模型迭代调优过程中的作用。
去报名
热门标签