问题标签 [qualys]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
mongodb-.net-driver - 如何使用 C# mongodb 驱动程序防止 SQL 注入?
我正在使用 C# Mongodb 驱动程序在 Mongodb 中插入/更新数据。我已经通过“Qualys”扫描了我的 web api,它被插入到我的一个名为“createdOn”的字段中,我在下面提供了示例数据。
1. 中太平洋标准时间 + (SELECT 0 FROM (SELECT
2. SLEEP(29))qsqli_1111) 中太平洋标准时间',0,0);WAITFOR
3. DELAY'00:00:29'- |ping -c2 - i91 本地主机|
请你帮我解决这个问题。
css - 如何解决 ASP.Net MVC 旧应用程序上的路径相关样式表导入 (prssi) 漏洞修复
我们有一个 ASP.Net MVC 4、C# 遗留内部应用程序,最近在使用 Qualys Express 扫描仪分析生产漏洞时,我们发现了以下问题并提出了建议。
漏洞 -:路径相关样式表导入 (PRSSI)
推荐解决方案 -:建议在 CSS 导入中删除相对 URL,并使用绝对 URL。
你能帮我解决这个问题需要做什么样的改变。我看到的选项很少,因为这是一个遗留应用程序,所以我们无法进行重大更改。
- 使用 X-Frame-Options 和 X-Content-Type-Options
- 设置现代 <!doctype html>
- 不要使用相对路径
- 路径相关样式表导入漏洞
- https://forums.asp.net/t/2119720.aspx?Path+relative+style+sheet+import+vulnerabilities
而且我没有能力再次运行漏洞报告,所以这就是为什么我试图找出最佳选项来为我们的应用程序解决这个问题,并在可能的情况下进行所需的全部更改。
google-cloud-platform - 用于获取我组织中所有 GCP 项目的 IP 地址的 Terraform 脚本
我想每周左右扫描我组织的 GCP 帐户上的所有 IP 地址并将其提供给一个文件。如何编写Terraform脚本/代码以从 GCP 中提取这些数据,然后将其发送到 Qualys API 进行扫描?
wordpress - 修复/隐藏 WordPress 中基于路径的漏洞
我有一个我管理的 WordPress 网站。我最近收到了 Qualys 漏洞安全扫描(非身份验证扫描),其中包含大量“基于路径的漏洞”结果。几乎所有列出的路径都遵循以下格式:
一些例子包括:
https://www.example.com/search/admin https://www.example.com/search/bin
当我访问这些 URL 时,我会收到相应的搜索页面响应,例如“搜索管理员未产生任何结果”。
但是,如果我在没有字符串参数的情况下访问https://www.example.com/search/ ,则会收到 404 错误(自定义错误页面),说明找不到该页面。所有这些都像我期望的那样工作。没有显示敏感数据/页面。
Qualys 发现的一个例子是:
150004 基于路径的漏洞 URL: https : //www.example.com/search/1/feed/rss2/ 发现 #8346060(130736429) 严重性确认漏洞 - 2 级唯一 # 编辑组路径披露检测日期 2021 年 3 月 22 日 18: 16 GMT-0400 CWE CWE-22 OWASP A5 访问控制损坏 WASC WASC-15 应用程序配置错误 WASC-16 目录索引 WASC-17 文件系统权限不正确 CVSS V3 Base 5.3 CVSS V3 Temporal5 CVSS V3 Attack VectorNetwork
详细信息 威胁在 Web 服务器上发现了可能敏感的文件、目录或目录列表。
影响此文件或目录的内容可能会泄露敏感信息。
解决方案验证是否允许访问此文件或目录。如有必要,将其删除或对其应用访问控制。
检测信息 参数检测信息不需要任何参数。 身份验证为了检测此漏洞,无需进行身份验证。 访问路径这是扫描程序到达可利用 URL 所遵循的路径:https://www.example.com https://www.example.com/?s=1
有效载荷
Safari/605.1.15 接受:/
根据调查结果,这似乎是一个误报。但是,我的 CIO 坚持要我证明这一点。首先,是否有任何可能有用的文档?其次,有没有人知道任何可以隐藏/删除这些发现的 WP 更新?
qradar - 使用 Qualys 应用程序丰富 QRadar 中的数据
如果我们将Qualys应用程序集成到 QRadar 中,是否会丰富 QRadar 中的数据?
例如,在分析时,如果我们想查看机器的详细信息,而不是去 Qualys 应用程序查看机器,它会直接在分析页面上看到吗?
python-3.x - 如何从控制台获取错误消息内容?
我有以下文本作为日志输出(到 python 控制台),当再次运行 Qualys API 并希望从那里解析错误消息(“错误!收到 A 4xx ...)中的内容时。我我正在使用qualysapi modul根据我在模块中看到的内容,它创建了一个自己的记录器实例,不幸的是,打印的消息不包含在模块引发的异常中。
有什么暗示这样的事情怎么可能发生?