漏洞管理/漏洞描述

最新推荐文章于 2024-07-05 17:12:31 发布
最新推荐文章于 2024-07-05 17:12:31 发布
阅读量275 收藏
点赞数
分类专栏: Security 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/124698538
版权

安全同学把漏洞转给研发的时候需要提供啥信息

  1. title 漏洞名,例如 reflected xss 反射型xss
  2. 严重级别
  3. 描述,简单描述下这个漏洞是啥
  4. 复现步骤,简单介绍如何复现这个问题,可能的话提供一小段poc
  5. 影响,这个漏洞能带来什么影响和危害
  6. 修复,如何修复这个问题
  7. 影响的资产,列出可能受影响的urls

一般来说严重级别serverity会进行分类,

以下是个分类的参考

  • informational 没有真正的影响
  • low 业务影响很小
  • medium 可能有潜在的影响,但不会泄漏数据
  • high,可能泄漏用户数据
  • critical 高风险,可能泄漏用户数据/敏感信息。可能影响整个系统或者对公司的业务产生影响

犬大犬小
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 2879
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
漏洞的分类
weixin_30882895的博客
03-09 997
漏洞的分类 当前游戏漏洞方面还没有权威的定义和分类方法,不同的人可能会有不同的分类方式,比如有些人喜欢按游戏玩法模块来划分漏洞,把漏洞分为任务系统漏洞、战队系统漏洞、对战系统漏洞等等。游戏安全实现室定位还是希望走纯技术交流的专业路线。所以这里所说的分类方法主要是从技术角度来分析漏洞形成的原因,进行归纳总结出来的分类方法,仅供大家参考。 1.外挂功能漏洞 外挂功能漏洞主要是指对游戏核心玩法的游...
安全漏洞的分类、描述与解决方案
热门推荐
花米徐xl_lx的专栏
07-24 1万+
安全测试,安全漏洞
网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型_漏洞基本原理
最新发布
baimao__Ch的博客
07-05 1473
接下来我将给各位同学划分一张学习计划表!e题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:2023届全国高校毕业生预计达到1158万人,就业形势严峻;国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
上传漏洞分类
03-11 205
/*以下例子多来自《web安全深度剖析》,权当记录。*/ 一、web容器解析漏洞   IIS解析漏洞(V6.0):   1、当建立*.asa 或*.asp的文件夹时,起目录下的任意文件IIS6.0都当做asp来解析,如下图:      2、当文件以*.asp;1.jpg命名时,IIS6.0同样会当做asp来解析,如下图:        WebDav漏洞: ...
漏洞分类
m0_62063669的博客
08-06 973
的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实。中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,XML注入又叫XXE攻击,全称为XML External Entity,从安全的角度来理解,可以叫做。服务端解析用户提交的xml文件时未对xml文件引用的外部实体做合适的处理,并且实体。常见的XSS攻击的是因为客户。换句话说,因为浏览器的安全功能的影响,XSS攻击只能读取受感染的会话,而无法。...
APT漏洞利用利器工具
06-27
描述中的“APT漏洞利用利器”进一步强调了这个工具在APT攻击中的关键角色,它可能包含了针对不同系统和应用的漏洞利用代码,使得攻击者能够高效地利用这些漏洞进行入侵。 标签“软件/插件”表明这个工具可能是以...
数据中心安全漏洞管理规范
03-23
描述了大型数据中心如何进行漏洞发现、漏洞修复和漏洞监控的方法、流程,供运营商、解决方案供应商和网络安全爱好者参考
智睿管理系统修改管理任意密码漏洞后门
09-28
然而,根据描述,智睿管理系统在Admin_Passod.asp文件中存在这样的漏洞,该文件可能负责处理密码更改请求。由于缺少登录验证,攻击者无需拥有有效的登录凭据就能访问并修改管理密码。 “后门”是另一个关键术语,它...
typechov漏洞.zip
08-10
“适合理解序列化漏洞”提示这个资源对于学习和理解PHP序列化漏洞及其影响非常有用,特别是对于安全研究人员、开发人员和系统管理员来说。 **标签解析:** “漏洞poc”标签进一步强调了该压缩包包含有关漏洞的信息...
SRC漏洞挖掘实战经验总结
10-28
同时,详细、清晰的漏洞报告应包含漏洞描述、复现步骤、影响范围、建议的修复措施等,方便开发团队理解并修复。 五、漏洞管理与修复 漏洞管理包括跟踪漏洞状态、协调修复、验证修复效果等环节。修复过程可能涉及...
安全管理】甲方企业漏洞管理活动的50个痛点总结
Websec
03-16 1193
甲方企业漏洞管理活动的50个痛点总结 活动阶段 活动任务 序号 痛点名称 痛点描述 预防 1 漏洞扫描检测 1 漏洞扫描影响性能 远程扫描可能影响网络和应用性能,本地扫描可能影响主机瞬时性能。 2 2 隔离网络扫描执行难 隔离网络网络不可达,需要物理接入,人工操作繁琐,费时费力。 3 3 扫描点权限风险 远程扫描若全网可达,扫描虽方便但权限过大可能存在安全风险。 4 4 扫描...
常见漏洞类型汇总
走马观花
03-19 5972
http://www.cnvd.org.cn/publish/main/78/2012/20120924161917256776912/20120924161917256776912_.html 一、SQL注入漏洞           SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略
渗透测试面试问题合集
qq_41679358的博客
10-11 9370
一、思路流程 1、信息收集 a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) b、网站指纹识别(包括,cms,cdn,证书等),dns记录 c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) e、子域名收集,旁站,C段等 f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等 h、传输协议,通用漏洞,exp,github源码等 2、漏洞挖掘 a、浏览网站,看看
常见漏洞细细分类
KD的疯狂实验室
08-11 4178
从提交列表中整理了一份:常见漏洞细细分类
网络安全漏洞分类详解
qq_44484541的博客
03-31 2295
缓冲区溢出、跨站脚本、DOS攻击、扫描、SQL注入、木马后门、病毒蠕虫、web攻击、僵尸网络、跨站请求伪造、文件包含、文件读取、目录遍历攻击、敏感信息泄露、暴力破解、代码执行漏洞、命令执行、弱口令、上传漏洞利用、webshell利用、配置不当/错误、逻辑/涉及错误、非授权访问/权限绕过、URL跳转、协议异常、网络钓鱼、恶意广告、网络欺骗、间谍软件、浏览器劫持、键盘记录、窃密木马、端口扫描、黑市工具、电子邮件、电脑病毒、网络蠕虫、文件下载、权限许可和访问控制、webshell上传。
什么是漏洞?最全的漏洞分类!
程序员阿飘 的博客
03-29 355
01什么是漏洞**”**漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。
后台管理系统文件包含漏洞测试描述
05-17
后台管理系统文件包含漏洞是指攻击者通过构造恶意请求,成功地将包含敏感信息的文件包含到应用程序中,从而获取应用程序的敏感信息,例如数据库账户密码、配置文件、源代码等等。 测试步骤如下: 1. 了解应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值