Domande con tag 'vulnerability-scanners'

domande con tag
1
risposta

Affidabilità di Padding Testers di vulnerabilità di Oracle

Recentemente ho eseguito il mio sito web attraverso il Test SSL di Qualsys SSL Labs . Il mio sito web ha ottenuto un voto "F" con questo messaggio allegato: This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-21...
posta 11.03.2017 - 14:46
3
risposte

CVE aggregati dal linguaggio di programmazione?

C'è un modo per cercare nel database CVE programmando il linguaggio? Ad esempio, prenderei in considerazione CVE-2015-4852 essere una vulnerabilità specifica di Java come lo ambito della vulnerabilità è la libreria di linguaggio di progra...
posta 27.04.2016 - 04:11
0
risposte

Come potrei addestrare un sistema ML per identificare vulnerabilità nel codice? [chiuso]

Chiedo scusa se questa non è tanto una "domanda" quanto una discussione. Ci ho pensato per un po '. Come posso addestrare un sistema di machine learning per identificare (nuove) vulnerabilità nelle basi di codice open source? O anche i binari...
posta 26.04.2016 - 20:31
3
risposte

Come capire quali porte aperte o servizi non sono sicuri?

Abbiamo circa mille macchine su internet. Effettuiamo la scansione delle porte con nmap e troviamo molte porte aperte su queste macchine. A volte trovavamo il sito web amministrativo usando HTTP invece di HTTPS, lo bloccavamo. Ma ci sono molt...
posta 20.11.2012 - 15:21
2
risposte

L'effetto dei banner di servizio nascosti o falsificati sugli scanner di vulnerabilità

La domanda collegata si riferisce alle pagine di errore, sebbene le stesse informazioni siano spesso disponibili nelle intestazioni HTTP, se seguo le best practice per nascondere i banner di servizio: Visualizza il server in cui sono in esec...
posta 02.12.2014 - 13:23
2
risposte

Come utilizzare uno scanner di porte in modo ostile

Gli scanner di porte come nessus e openvas sono fondamentalmente utilizzati per identificare le vulnerabilità della rete. La mia domanda è se qualcuno con cattive intenzioni è in grado di utilizzare questi strumenti legali in un modo più ostile?...
posta 19.04.2015 - 14:22
3
risposte

Esiste un processo per identificare le minacce correlate a una distribuzione?

Ho letto sulla modellazione delle minacce applicative che rende sicuri i prodotti software dalle fasi iniziali (SDLC). Ma se facciamo qualcosa di sbagliato nella fase di distribuzione, questo sarà comunque un problema. Ad esempio, un sysadmin...
posta 07.08.2015 - 16:17
1
risposta

Progettazione concettuale del programma di scansione delle vulnerabilità nella rete di vendita globale (PCI DSS)

Sto provando a progettare un programma annuale per cercare vulnerabilità su una rete molto grande di terminali di pagamento. La società ha migliaia di punti vendita in tutto il mondo che devono essere sottoposti a scansione per rilevare event...
posta 30.10.2012 - 15:55
2
risposte

Perché i punteggi CVSS differiscono così tanto tra la pagina Redhat e NVD?

prendi CVE-2016-7872 per esempio. nella pagina web del National Vulnerability Database , possiamo vedere che il punteggio cvss2 e cvss3 sono 9,8 e 10.0 rispettivamente. ma nella pagina di avviso di sicurezza redhat , sono 6.8 e 8.8. A...
posta 17.08.2017 - 09:19
1
risposta

Scansione ASV con proxy inverso

Siamo conformi PCI come fornitore di servizi, tuttavia la nostra porta di servizio inoltra parte del traffico web a livello di TCP. I clienti utilizzano il nostro servizio conforme PCI e possono scegliere di caricare un certificato TLS / SSL...
posta 17.12.2015 - 10:10