问题标签 [qualys]

我编写了一个脚本来从 Qualys 获取扫描结果，每周运行一次以收集指标。

该脚本的第一部分涉及为过去一周运行的每个扫描获取参考列表以进行进一步处理。

问题是，虽然有时这会很好地工作，但有时脚本会挂起c.perform()。这在手动运行脚本时是可以管理的，因为它可以重新运行直到它工作。但是，我希望每周将其作为计划任务运行，而无需任何手动交互。

是否有一种万无一失的方法可以检测是否发生挂起并重新发送 PyCurl 请求直到它起作用？

我尝试设置c.TIMEOUTandc.CONNECTTIMEOUT选项，但这些似乎没有效果。此外，由于没有抛出异常，简单地将它放在 try-except 块中也不会飞。

有问题的功能如下：

我正在 Windows EC2 实例上运行 Qualys 扫描，它报告了一些漏洞。其中之一是“SSL 证书 - 主题公用名与服务器 FQDN 不匹配”。

根据 Qualys 的建议，对此的解决方案是“请安装其 Subject commonName 或 subjectAltName 与服务器 FQDN 匹配的服务器证书”。

现在的问题是未经第三方验证的自签名证书。我如何获得这种情况的有效证书，以便 Qualys 不报告错误。我查看了 ACM，但我猜它不提供 EC2 证书。

谁能提供有关如何解决此问题的见解？我在哪里获得有效证书以及如何将其添加到实例中。我正在使用 Cloudformation 模板使用使用打包程序创建的自定义 AMI 创建实例。我提到这一点是因为了解添加证书的步骤是否需要添加到 AMI 创建阶段会很有帮助。

为了检查我们的应用服务器中的漏洞，我们运行了 Qualys 扫描。从报告中我们发现我们的应用服务器容易受到慢速 HTTP Post 攻击。为了缓解这种攻击，我们根据 Qualys 报告（https://blog.quallys.com/securitylabs/2011/11/02/how-to-protect-against-slow-http- ）在应用服务器前配置了 nginx。攻击）。根据 Qualys 的说法，如果服务器保持连接打开超过 120 秒，他们认为该服务器容易受到慢速 HTTP Post 攻击。尽管 nginx 默认超时是 60 秒，但它在我们的应用服务器中保持连接超过 2 分钟。我们还检查了 nginx 连接状态，它使连接保持在写状态超过 2 分钟。

请帮助我们配置 nginx 以防止慢速 HTTP Post 攻击。

当前的 nginx 配置

在过去几天试图让 Qualys API 与 python 一起工作后，我通常会遇到诸如 401 和此类错误之类的错误，因为 python 代码示例说它们不受支持。

由于 Qualys API 是用 curl 编写的，因此我使用Curl.trillworks.com将 curl 转换为 python。

我使用的代码是：（卷曲）

并将其转换为python：

并得到 401 响应。我应该添加任何想法或更多说明吗？谢谢

更新 - 2020 年 12 月 27 日

自从我遇到这个问题以来已经有一段时间了。不确定是什么问题，但对于遇到相同问题的其他人，我建议将 CURL 语句插入 Insomnia 或 Postman 等工具，将这些语句转换为任何语言。这将帮助您获得更准确的转换。

在正在开发的网站上运行 Qualys 漏洞扫描时，我遇到了以下漏洞：

Cookie Does Not Contain The "HTTPOnly" Attribute

Cookie Does Not Contain The "secure" Attribute

我的应用程序在ExpressJS和Web 服务器NodeJS中运行。nginx我正在使用express-session和csurf令牌。我已经设置了HTTPOnly和secureflag true。配置如下：

我的nginx配置是：

HTTPOnly并且secure这两个标志都在浏览器 cookie 部分中打勾。但是当我扫描它时，它向我显示了上面提到的漏洞。

有人能帮我吗？

等待你的帮助朋友

我们在 Qualys 报告中发现了基于路径的漏洞问题。我已经完成了类似这样的 stackoverflow 问题，并将 useDefaultSuffixPattern 配置为 false，如下所示。

我仍然可以使用 /about.anything 加载页面，即使在控制器中我已经给出了 @RequestMapping(value = "/about")

我们是否需要更新任何其他配置以阻止这种情况发生？

我们使用的是 hybris 1811 版本

我们的 Qualys 报告中报告的安全漏洞很少，该报告说可以使用以下 url 注入命令。

在这里，安全团队成功地注入了 ping 命令，但他们说他们可以很容易地注入更有害的命令。

我可以添加一个 xss 过滤器模式来删除其中包含“ping”的任何单词，但这不会阻止其他命令的运行，并且客户将无法使用包含“ping”的搜索词。

春天有没有更清洁和推荐的方法来解决这个问题？

我能够成功地利用邮递员进行我正在对 qualys 进行的 API 调用，但现在我正试图将其转换为 powershell 或 powershell ISE，并且我得到所有这些空括号并且不知道如何排除故障或理解这些结果。这是否意味着我已经成功通过身份验证并且结果还不可读？

需要明确的是，我正在将 Postman 测试转换为“Powershell Rest Method”片段。这是在邮递员中成功的那个片段的结果。

我正在尝试解决我的应用程序中的缓慢发布漏洞问题。

问题：https ://blog.quallys.com/securitylabs/2011/07/07/identifying-slow-http-attack-vulnerabilities-on-web-applications

为了限制来自用户的连接数，我使用了 express-rate-limit 以使应用程序不会变得不可用。

但是，如果我尝试使用 slowtesttool 测试我的应用程序并使用 2 个连接运行测试（每秒连接 1 个，每 10 秒跟踪一次数据），我看到连接永远不会关闭。

我已经为连接设置了超时，如下所示，但它似乎不起作用！

有没有办法可以限制接受数据的速率，即指定我可以等待每个下一个正文块的最长时间？

我运行与其他扩展相同的代码片段：

..我得到：

我在安全中心通过 Azure UI 安装这个扩展没有问题

我怀疑许可证是根本原因，但我没有任何专用许可证，我相信安全中心会自动管理它们

任何想法如何自动安装 Qualys 扩展？