【安全牛学习笔记】漏洞概念

最新推荐文章于 2024-01-12 16:47:22 发布
VIP文章 最新推荐文章于 2024-01-12 16:47:22 发布
阅读量785 收藏
点赞数
分类专栏: 安全,信息安全,漏洞扫描 文章标签: 漏洞 安全 web 渗透 dns
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edu_aqniu/article/details/75012647
版权

1.漏洞管理(信息维度)(1).信息收集

扫描发现网络IPOS、服务、配置、漏洞能力需求:定义扫描方式内容和目标

(2).信息管理格式化信息,并进行筛选、分组、定义优先级

  能力需求:资产分组、指定所有者、向所有者报告漏洞

(3).信息输出向不同层级的人群展示足够的信息量

能力需求:生成报告、导出数据、与SIEM集成2.弱点扫描类型

(1).主动扫描有身份验证(登陆到系统中进行扫描)

无身份验证(黑盒扫描)

(2).

最低0.47元/天 解锁文章
信安牛妹子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全漏洞相关概念(CVE,CNA, CWE,CVSS,OWASP)
oscar999的专栏
10-04 3520
* CVE给发现的漏洞编号 (事后补救), CWE 旨在通过对所有已识别的缺陷和暴露进行分类(事前预防) * CVSS 用来给发现的漏洞一个严重等级的评分 * OWASP 和 CWE 每年会发布一个排名靠前的漏洞的列表。
安全Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
什么是开放式漏洞与评估语言(OVAL)
程序设计与安全 @EVAN-CSS
05-13 3866
OVAL全称是Open Vulnerability and Assessment Language(开放式漏洞与评估语言)。本文介绍了什么是OVAL语言、OVAL语言的结构、组成OVAL文档各个元素的技术细节等内容。本文为原创内容,如果需要转载请注明出处。 本文原文链接地址为:http://oval.scap.org.cn/article_oval_about-oval.html SCAP
第八章(一)—漏洞扫描(基本概念
weixin_43876557的博客
06-01 2150
基于端口服务扫描结果版本信息(速度慢) 搜索已公开的漏洞数据库(数量大) 使用弱点扫描器实现漏洞管理
信息安全术语-cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
-
05-09 3099
cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
漏洞领域专业术语
HideInTime的博客
11-10 2645
SCAP:The Security Content Automation Protocol安全内容自动化协议 该中文社区中集成了SCAP框架协议中的CVE(通用漏洞披露)、OVAL(开源漏洞检测语言)、CCE(通用配置枚举)、CPE(通用平台枚举)等4种网络安全相关标准数据库 SCAP版本1.0包含以下六个SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit
信息安全工程师学习笔记.rar
03-06
资源为软考中级信息安全工程师学习笔记,非常详细,可用来复习看书,绝对实用!
安全测试学习笔记.pdf
05-28
安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf安全测试学习笔记.pdf
Java安全防御学习笔记V1.pdf
08-28
Java安全防御学习笔记
渗透测试面试问题合集
qq_41679358的博客
10-11 9314
一、思路流程 1、信息收集 a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b、网站指纹识别(包括,cms,cdn,证书等),dns记录 c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) e、子域名收集,旁站,C段等 f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等 h、传输协议,通用漏洞,exp,github源码等 2、漏洞挖掘 a、浏览网站,看看
安全漏洞概念及分类
11-21
本文是一个安全漏洞相关的科普,介绍安全漏洞概念认识,漏洞在几个维度上的分类及实例展示。
HellRaiser:漏洞扫描程序,使用Nmap进行扫描,并将找到的CPE与CVE相关联
02-02
地狱提升者 漏洞扫描器 安装 HellRaiser依赖于 API。 运行cve-search API,并在cvesearch_api_domain字段的config/config.yml添加地址。 安装Ruby,捆绑器和导轨。 安装redis-server和nmap。 sudo apt-get update sudo apt-get install redis-server nmap 安装工头宝石。 gem install foreman 克隆HellRaiser存储库,切换到hellraiser Web应用程序目录,然后运行bundle install和bundle exec rake db:migrate。 git clone https://github.com/m0nad/HellRaiser/ bundle install --path vendor/bundle bundle exec rake db:migrate 开始 使用工头启动Procfile。 foreman s 用法 访问 这个怎么运作? 然后使用nmap进行HellRaiser扫描,然后将cp
Python-cvesearch是一种将CVE和CP导入MongoDB以便于搜索和处理CVE的工具
08-10
cve-search是一种将CVE(常见漏洞和暴露)和CPE(通用平台枚举)导入MongoDB以便于搜索和处理CVE的工具。
nvdtools:一组用于处理国家漏洞数据库(NVD)分发的提要(漏洞,CPE词典等)的工具。
02-05
NVD工具 用于处理源的工具的集合。 为如何有效使用这些工具提供了更广阔的视野。 要求 转到1.13或更高版本 安装 您需要正确设置Go环境。 下载NVD工具: go get github.com/facebookincubator/nvdtools/... 安装所有随附的命令行工具: cd " $GOPATH " /src/github.com/facebookincubator/nvdtools/cmd go install ./... 命令行工具 cpe2cve cpe2cve是一个命令行工具,用于扫描CPE名称清单中的漏洞。 它需要一行由定界符分隔的字段,这些字段之一是清单中
软件供应链安全——组件漏洞的治理
m0_50579386的博客
04-27 2716
前 言 漏洞库:漏洞数据库,主要指大型的、公开的、业界公认的漏洞数据库。比如NVD、CNVD、exploit-db等。 CVE:给每个漏洞确定唯一名称,通过CVE可以帮助安全人员快速在漏洞数据库中找到相应的漏洞信息。 CPE:漏洞所关联的产品、版本、依赖路径或命名规范等信息,通过CPE信息,可以知道某个CVE所影响的组件版本和所在产品的依赖路径。 CWE:漏洞的类型,比如某3个组件都存在SQL注入漏洞,这3个漏洞的CVE并不相同,但CWE都可描述为CWE-89 SQL...
软件安全复习(漏洞分析部分)
最新发布
kjnsdg的博客
01-12 1494
共同的基本原因:软件在设计、编码、测试和运行阶段,没有发现软件中的各种安全隐患,导致软件的不安全。(1)软件的生产没有严格遵守软件工程流程。(2)大多数系统软件和商业软件结构庞大且复杂,无法持续安全运行(3)编码者没有采用科学的编码方法。(4)测试不到位(不过有时是无法到位)。主要是测试用例的设计无法涵盖尽可能典型的安全问题。错误是指软件实现过程出现的问题,大多数的错误可以很容易发现并修复,如缓冲区溢出、死锁、不安全的系统调用、不完整的输入检测机制和不完善的数据保护措施等;
【浏览器安全漏洞
杨光
03-03 558
很早时候浏览器安全这个词就一直在我脑子里转,这次接触浏览器安全后发现涉及面之广超出了我的想象,又想到生而为人不能太贪,又不能不贪(对于知识的需求),所以适当了解做个记录。 安全漏洞的定义:安全漏洞是产品中的一个弱点,它可能允许攻击者破坏该产品的完整性,可用性或机密性。 源于:(https://docs.microsoft.com/en-us/previous-versions/tn-archiv...
认识CWE和CVE
manok的专栏
05-18 1万+
在源代码安全领域工作的朋友都知道CWE和CVE,但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下,供刚进入该领域人员的参考。 CWE(Common Weakness Enumeration,通用缺陷枚举)。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE (Common Vulnerabilities & Exposures,常用漏洞和风险)...
安全漏洞名词扫盲(POC,EXP,CVE,CVSS等)
热门推荐
qqchaozai的专栏
12-16 1万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
网络安全防御方法讲解学习笔记
12-07
网络安全防御方法讲解学习笔记: 1. 运维方面的防御方法: - 及时更新服务器补丁,避免因为漏洞被攻击。 - 使用安全性更高的中间件和服务,避免因为漏洞被攻击。 - 使用强密码,避免被猜解。 2. 业务方面的防御...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值