Preguntas con etiqueta 'vulnerability-scanners'

preguntas con etiqueta
3
respuestas

CVEs agregados por lenguaje de programación?

¿Hay alguna forma de buscar en la base de datos CVE por lenguaje de programación? Por ejemplo, consideraría CVE-2015-4852 para ser una vulnerabilidad específica de Java, ya que el ámbito de la vulnerabilidad es la biblioteca de lenguaje d...
hecha 27.04.2016 - 04:11
0
respuestas

¿Cómo podría capacitar a un sistema ML para identificar vulnerabilidades en el código? [cerrado]

Disculpas si esto no es tanto una "pregunta" como una discusión. He estado pensando en esto por un tiempo. ¿Cómo podría capacitar a un sistema de aprendizaje automático para identificar (nuevas) vulnerabilidades en bases de código de código a...
hecha 26.04.2016 - 20:31
3
respuestas

¿Cómo averiguar qué puertos o servicios abiertos son inseguros?

Tenemos alrededor de mil máquinas en internet. Hacemos escaneo de puertos con nmap y encontramos muchos puertos abiertos en estas máquinas. En algún momento encontramos un sitio web administrativo que usa HTTP en lugar de HTTPS, lo bloquearíamos...
hecha 20.11.2012 - 15:21
2
respuestas

El efecto de los banners de servicio ocultos o falsificados en los escáneres de vulnerabilidad

La pregunta vinculada se relaciona con las páginas de error, aunque la misma información a menudo está disponible en los encabezados HTTP, si sigo la mejor práctica de ocultar los banners de servicio: ¿Es un riesgo de seguridad mostrar el se...
hecha 02.12.2014 - 13:23
2
respuestas

Cómo usar un escáner de puertos de manera hostil

Los escáneres de puertos como nessus y openvas se utilizan básicamente para identificar las vulnerabilidades de la red. Mi pregunta es si alguien con malas intenciones puede usar estas herramientas legales de una manera más hostil. Si es posible...
hecha 19.04.2015 - 14:22
3
respuestas

¿Existe un proceso para identificar las amenazas relacionadas con las implementaciones?

Leí sobre el modelado de amenazas de aplicaciones que hace que los productos de software estén seguros desde sus etapas iniciales (SDLC). Pero si hacemos algo mal en la fase de implementación, eso será un problema. Por ejemplo, un administrad...
hecha 07.08.2015 - 16:17
1
respuesta

Diseño conceptual del programa de exploración de vulnerabilidades en una red minorista global (PCI DSS)

Estoy intentando diseñar un programa anual para buscar vulnerabilidades en una gran red de terminales de pago. La compañía tiene miles de puntos de venta en todo el mundo que deben analizarse para detectar vulnerabilidades. Más específicament...
hecha 30.10.2012 - 15:55
2
respuestas

¿Por qué las puntuaciones CVSS difieren tanto entre Redhat y la página NVD?

tome CVE-2016-7872, por ejemplo. en la página web de la Base de datos de vulnerabilidad nacional , podemos ver que la puntuación de cvss2 y cvss3 es 9.8 y 10.0 respectivamente. pero en la página de avisos de seguridad de redhat , son 6.8...
hecha 17.08.2017 - 09:19
1
respuesta

escaneo ASV con proxy inverso

Somos compatibles con PCI como proveedor de servicios, sin embargo, nuestro puerto de servicio reenvía algo de tráfico web a nivel de TCP. Los clientes utilizan nuestro servicio compatible con PCI y pueden optar por cargarnos un certificado T...
hecha 17.12.2015 - 10:10
2
respuestas

IBM AppScan falso positivo

Escanee un sitio web con IBM AppScan e informa múltiples vulnerabilidades, pero cuando lo pruebo manualmente no puedo encontrar el problema exacto. ¿Cómo puede AppScan encontrar vulnerabilidades mientras no puedo encontrarlas al pasar manualm...
hecha 15.12.2015 - 07:35