问题标签 [nessus]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - PHP - 使用正则表达式从字符串中提取数据
我需要帮助来执行此操作。我有一个这样的字符串:
我需要提取 fileName 参数。这该怎么做?
我用正则表达式可以做到这一点,但我不太清楚这一点。
谢谢!
nessus - 未检测到 Apache 漏洞?
我正在使用 Nessus 扫描一些服务器,但有一些我不明白的地方。Nessus 检测到 Web 服务器是 Apache/2.2.16(在 Debian 上)。如果你去http://httpd.apache.org/security/vulnerabilities_22.html你会看到很多影响这个 Apache 版本的漏洞。
但是,Nessus 没有检测到与这些漏洞相关的任何内容。例如,插件 50070 “Apache 2.2 > 2.2.17 Multiple Vulnerabilities”没有被触发。
我已经检查过这个插件和所有可用的插件都被激活了(我做了一个完整的扫描并激活了所有的插件)。
所以我的问题是为什么 Nessus 没有通知我我正在运行具有http://httpd.apache.org/security/vulnerabilities_22.html上列出的漏洞的旧 Apache 版本?我通知我的事情
重要:范围标头远程 DoS CVE-2011-3192
在 Apache HTTP 服务器处理范围 HTTP 标头的方式中发现了一个缺陷。远程攻击者可以利用此漏洞通过带有特制 Range 标头的 HTTP 请求导致 httpd 使用过多的内存和 CPU 时间。这可以用于拒绝服务攻击。
很重要。
提前致谢 :)
xml - Powershell 脚本 - 合并多个 Nessus 扫描 -
因此,我正在尝试按照Ryker Exum中定义的手动指南来自动化合并多个 Nessus 扫描的过程。我面临的挑战是我必须在文件中查找和删除行直到并包括某个点(一旦找到特定字符串)。我的目标是尽可能高效地执行此操作,因为其中一些 Nessus 扫描结果(XML 文件)可能超过 100MB。因此,我的方法是:
- 放置一些逻辑来识别第一个和最后一个文件,并对它们采取相应的行动。
- 删除除我遇到的第一个扫描文件之外的所有文件的最后 33 个字符。
- 获取每个文件的内容,一次一个地读取每个对象。如果没有匹配,删除该行并移动到下一个对象。如果有匹配,删除该行并停止(因此执行直到)。
在这一点上,我还没有成功完成第三步。代码如下:
任何人的想法或评论?
python - Python 忽略 %s 占位符
我正在尝试检查信息是否在字典中,如果是,则写入 Excel 电子表格。但是,我正在检查的信息是主观的。我尝试使用 %s 作为占位符,但 Python 似乎忽略了它,或者认为该陈述不正确。没有出现语法错误。有人可以指出我做错了什么的正确方向吗?
我尝试过使用 %d,但它也忽略了这一点。我以前使用列表并切换到字典,但这并没有解决问题。如果我指定一个特定的数字,它会起作用,但占位符 %s 不会。
javascript - 填写元素内的文本字段
我知道已经有一些关于访问另一个元素中的元素的线程......我尝试了很多东西,但我无法让它工作......
JSFiddle -> http://jsfiddle.net/YcPc8/2/
我想要在页面上做的是填写用户名和密码 - 然后单击登录按钮。
下面是网页的部分html代码:
现在我想填写登录名和密码字段...这是我在 javascript 中尝试的一些代码:
security - Nessus 漏洞扫描器报告我的经典 ASP 站点仍然受到 XSS 攻击
我正在寻找在我的网站上报告的一个漏洞,该漏洞主要是用带有 VBscript 的经典 ASP 编写的。我认为我所做的修复应该已经足够了,但是“重新扫描”仍然在端口 80/tcp 上显示“中等风险”项目:
以下是此报告项目的片段:
当我查看这个服务器端脚本页面时,我注意到我对参数的检索并没有“清理”输入,如下所示:
因此,我将其更改如下:
其中新添加的函数应“清理”parm 值,如下所示:
这个名为implicit_Menu 的变量永远不会以任何方式输出到页面。仅使用某些案例逻辑对其进行评估以设置其他变量,如下例所示:
我看不出还有什么可以在这里做的。我已阅读防止跨站点脚本攻击?其中一些漏洞扫描程序无法识别我采取的措施。
当扫描程序看到从查询字符串中检索时,是否有可能总是报告 XSS 违规?
mysql - 如何限制对 MySQL 中用户定义函数的访问
我是 MySQL 的新手,我在我的一个服务器上运行了 Nessus 扫描,并遇到了一个安全发现,它有一个解决方法来限制对用户定义的函数的访问。有人能帮助我吗?
更新
解决方法是限制访问以在服务器上创建用户定义的函数
import - 如何将资产链接到 Nessus Security Center 中的导入仪表板?
我的 Nessus 安全中心有一个配置的仪表板。对于每个组件,我都设置了一个资产,例如我的 Linux 机器的资产。现在,我将使用我的 Windows 机器的资产创建相同的仪表板。通过导出到 xml,我可以选择三种方法:
- 保留参考资料
- 用占位符替换引用
- 删除参考
如果我采用第二个选项,我发现无法用对我的 Windows 资产列表的引用替换占位符。
我发现的唯一方法是:进入每个组件的每个单元格并在“目标过滤器”选项中设置资产。
整个仪表板是否没有通用设置来配置资产?
PS:export-xml中组件的定义是无法使用的,如果不能解密的话。
java - 如何传递多组http参数访问webservices
当我在 Nessus 扫描仪上工作时,我必须传递参数来创建扫描。请求的正文应该是:
目前我正在尝试通过以下代码传递这些参数:
目前通过运行上面的代码,我得到:
请帮助我成功传递这些参数以在 Nessus 中创建扫描
nessus - 如何通过 nessus API 提交目标?
我正在尝试通过文档后的 API 在 Nessus (6.4) 中创建新扫描。我设置了策略,创建扫描的代码是
这输出
该文档明确给出了 POST 正文的示例:
以下是此请求的示例正文:
我检查了界面中的实际扫描创建,分析了 HTTPS 流量。POST 正文以
所以看起来目标提供正确。
targets知道关于该领域还有什么要检查的吗?