- 浏览: 7942864 次
- 性别:
- 来自: 广州
文章分类
- 全部博客 (2425)
- 软件工程 (75)
- JAVA相关 (662)
- ajax/web相关 (351)
- 数据库相关/oracle (218)
- PHP (147)
- UNIX/LINUX/FREEBSD/solaris (118)
- 音乐探讨 (1)
- 闲话 (11)
- 网络安全等 (21)
- .NET (153)
- ROR和GOG (10)
- [网站分类]4.其他技术区 (181)
- 算法等 (7)
- [随笔分类]SOA (8)
- 收藏区 (71)
- 金融证券 (4)
- [网站分类]5.企业信息化 (3)
- c&c++学习 (1)
- 读书区 (11)
- 其它 (10)
- 收藏夹 (1)
- 设计模式 (1)
- FLEX (14)
- Android (98)
- 软件工程心理学系列 (4)
- HTML5 (6)
- C/C++ (0)
- 数据结构 (0)
- 书评 (3)
- python (17)
- NOSQL (10)
- MYSQL (85)
- java之各类测试 (18)
- nodejs (1)
- JAVA (1)
- neo4j (3)
- VUE (4)
- docker相关 (1)
最新评论
-
xiaobadi:
jacky~~~~~~~~~
推荐两个不错的mybatis GUI生成工具 -
masuweng:
(转)JAVA获得机器码的实现 -
albert0707:
有些扩展名为null
java 7中可以判断文件的contenttype了 -
albert0707:
非常感谢!!!!!!!!!
java 7中可以判断文件的contenttype了 -
zhangle:
https://zhuban.me竹板共享 - 高效便捷的文档 ...
一个不错的网络白板工具
多个值得关注的开源免费安全漏扫工具,来自https://www.javacodegeeks.com/2019/04/microservices-for-java-developers-security-testing-scanning.html,重点提到如下开源安全漏扫工具:
1)find security bug
这个是一个结合在各类IDE得findbug插件得其中一个可谓“子插件”了,必须在IDE中先安装了findbug,
地址在:http://find-sec-bugs.github.io/,
2)Zed Attack Proxy - Web应用程序渗透测试工具
Zed Attack Proxy (ZAP)是一个易于使用的、用于查找Web应用程序漏洞的渗透测试工具。ZAP是为具有丰富安全经验的人员设计的,同时,也是渗透测试新手用于开发和功能测试的最佳工具。ZAP提供了自动化的扫描工具,而且也提供一系列工具用于手动寻找安全漏洞。 地址在:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3) Archery:开源漏洞扫描平台
Archery是一款开源的漏洞评估和管理工具,它可以帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用流行的开源工具来执行对Web应用及网络的全面扫描。它还可执行Web应用程序动态验证扫描,并使用selenium覆盖整个应用程序。开发人员也可以使用该工具来实现其DevOps CI/CD环境。
工具概述 使用开源工具执行Web和网络漏洞扫描。 关联和协作所有原始扫描数据,并最终以合并的方式展示它们。 执行Web应用程序验证扫描。 使用selenium执行Web应用程序扫描。 漏洞管理。 支持通过REST API来执行扫描和漏洞管理。 适用于DevOps团队的漏洞管理。
地址:https://github.com/archerysec/archerysec
4) SAP开源的静态代码扫描工具
https://github.com/SAP/vulnerability-assessment-tool
SAP 发布了 Vulnerability Assessment Tool
的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对 600 多个项目进行了 20,000 次扫描。
Vulnerability Assessment Tool 侧重于检测脆弱的组件,如 OWASP-Top 10 2017 A9
所述的那些。这个工具会扫描软件包中的直接依赖项和间接依赖项,然后将每个依赖项与已知源(如 国家漏洞数据库
或 CVE 列表)进行比较,确定每个软件包是否存在已知的漏洞。在开发过程中,这些知识可以告诉开发人员何时应该升级某些组件。在运营期间,当发现新的漏洞时,可以使用这些信息来定位需要采取行动的应用程序。
2017 年,Equifax 未能对 Apache Struts 及时打上 CVE-2017-9805
补丁导致数据泄露,自从这次事件之后,SCA 就成了软件行业的关键一环。这次数据泄露事件总共丢失了 1.43 亿条记录,预计总损失超过 6 亿美元。Apache 软件基金会先前发布了“ Apache Struts 有关 Equifax 数据泄露的声明
”,其中就提到了一些 Vulnerability Assessment Tool 需要解决的问题,例如:
了解软件产品中使用了哪些支持框架和库,以及它们的版本,并跟踪影响这些产品和版本的安全公告。
建立一个流程,以便在需要更新支持框架或库时可以快速推出软件产品的安全补丁。最好是以小时或几天为单位,而不是几周或几个月。我们所知道的大多数漏洞都是由于没有更新软件组件造成的,而这些组件在数月甚至数年内都是已知的易受攻击源。
SAP 的新工具不仅仅是列出文件,它还会执行一定级别的静态代码安全性测试(SAST),以评估每个组件的使用情况。这是为了在可能存在脆弱但不在使用中的组件的情况下最小化误报。例如,一个工具将 JRE 本身标记为容易受到 applet 漏洞攻击,比如 CVE-2016-0636
,但 JRE 主要用于服务器端,applet 从未被使用。
很多组织都会执行静态代码分析,作为在发布前检测代码级别漏洞的安全措施。具体来说, PCI 安全软件标准
的 8.4.b 章节和 NIST 800-53 的 SA-4 章节
提到了代码审查,以及其他分析代码的检测机制,比如二进制分析。另一个选项是通过集成应用程序安全性测试(IAST)持续监控应用程序行为。
项目文档解释了安全测试静态分析领域的几个限制。具体来说,它提到了对非静态信息(如 Java 9 的多 JAR
)缺少支持。这个 Java 特性提供具有相同名称空间的多个类文件,JRE 会在运行时选择适当的类和行为。在静态上下文中,如果没有运行时,有关此决策的信息将会丢失,因此分析程序必须选择所有路径,或者默认选择主类位置。SAP 的工具选择了后者,并为 Java 提供了一个类似于 IAST 的动态工具,以弥补静态安全分析的不足,并检测哪些文件被使用过。
5) XSStrike
地址:https://github.com/s0md3v/XSStrike
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
两个不错的教程文章:https://www.zhangshengrong.com/p/AvN6KVWXmx/
http://www.kb-iot.com/post/879.html
---------------------
1)find security bug
这个是一个结合在各类IDE得findbug插件得其中一个可谓“子插件”了,必须在IDE中先安装了findbug,
地址在:http://find-sec-bugs.github.io/,
2)Zed Attack Proxy - Web应用程序渗透测试工具
Zed Attack Proxy (ZAP)是一个易于使用的、用于查找Web应用程序漏洞的渗透测试工具。ZAP是为具有丰富安全经验的人员设计的,同时,也是渗透测试新手用于开发和功能测试的最佳工具。ZAP提供了自动化的扫描工具,而且也提供一系列工具用于手动寻找安全漏洞。 地址在:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3) Archery:开源漏洞扫描平台
Archery是一款开源的漏洞评估和管理工具,它可以帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用流行的开源工具来执行对Web应用及网络的全面扫描。它还可执行Web应用程序动态验证扫描,并使用selenium覆盖整个应用程序。开发人员也可以使用该工具来实现其DevOps CI/CD环境。
工具概述 使用开源工具执行Web和网络漏洞扫描。 关联和协作所有原始扫描数据,并最终以合并的方式展示它们。 执行Web应用程序验证扫描。 使用selenium执行Web应用程序扫描。 漏洞管理。 支持通过REST API来执行扫描和漏洞管理。 适用于DevOps团队的漏洞管理。
地址:https://github.com/archerysec/archerysec
4) SAP开源的静态代码扫描工具
https://github.com/SAP/vulnerability-assessment-tool
SAP 发布了 Vulnerability Assessment Tool
的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对 600 多个项目进行了 20,000 次扫描。
Vulnerability Assessment Tool 侧重于检测脆弱的组件,如 OWASP-Top 10 2017 A9
所述的那些。这个工具会扫描软件包中的直接依赖项和间接依赖项,然后将每个依赖项与已知源(如 国家漏洞数据库
或 CVE 列表)进行比较,确定每个软件包是否存在已知的漏洞。在开发过程中,这些知识可以告诉开发人员何时应该升级某些组件。在运营期间,当发现新的漏洞时,可以使用这些信息来定位需要采取行动的应用程序。
2017 年,Equifax 未能对 Apache Struts 及时打上 CVE-2017-9805
补丁导致数据泄露,自从这次事件之后,SCA 就成了软件行业的关键一环。这次数据泄露事件总共丢失了 1.43 亿条记录,预计总损失超过 6 亿美元。Apache 软件基金会先前发布了“ Apache Struts 有关 Equifax 数据泄露的声明
”,其中就提到了一些 Vulnerability Assessment Tool 需要解决的问题,例如:
了解软件产品中使用了哪些支持框架和库,以及它们的版本,并跟踪影响这些产品和版本的安全公告。
建立一个流程,以便在需要更新支持框架或库时可以快速推出软件产品的安全补丁。最好是以小时或几天为单位,而不是几周或几个月。我们所知道的大多数漏洞都是由于没有更新软件组件造成的,而这些组件在数月甚至数年内都是已知的易受攻击源。
SAP 的新工具不仅仅是列出文件,它还会执行一定级别的静态代码安全性测试(SAST),以评估每个组件的使用情况。这是为了在可能存在脆弱但不在使用中的组件的情况下最小化误报。例如,一个工具将 JRE 本身标记为容易受到 applet 漏洞攻击,比如 CVE-2016-0636
,但 JRE 主要用于服务器端,applet 从未被使用。
很多组织都会执行静态代码分析,作为在发布前检测代码级别漏洞的安全措施。具体来说, PCI 安全软件标准
的 8.4.b 章节和 NIST 800-53 的 SA-4 章节
提到了代码审查,以及其他分析代码的检测机制,比如二进制分析。另一个选项是通过集成应用程序安全性测试(IAST)持续监控应用程序行为。
项目文档解释了安全测试静态分析领域的几个限制。具体来说,它提到了对非静态信息(如 Java 9 的多 JAR
)缺少支持。这个 Java 特性提供具有相同名称空间的多个类文件,JRE 会在运行时选择适当的类和行为。在静态上下文中,如果没有运行时,有关此决策的信息将会丢失,因此分析程序必须选择所有路径,或者默认选择主类位置。SAP 的工具选择了后者,并为 Java 提供了一个类似于 IAST 的动态工具,以弥补静态安全分析的不足,并检测哪些文件被使用过。
5) XSStrike
地址:https://github.com/s0md3v/XSStrike
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
两个不错的教程文章:https://www.zhangshengrong.com/p/AvN6KVWXmx/
http://www.kb-iot.com/post/879.html
---------------------
发表评论
-
分享一篇不错的网络安全建设文章
2017-11-25 07:57 729https://mp.weixin.qq.com/s/pNeC ... -
WIN10关闭445端口
2017-05-13 08:38 1528https://jingyan.baidu.com/artic ... -
【67份PDF下载】2016阿里安全峰会重点资料新鲜开放,不能错过!
2016-07-30 21:00 799【67份PDF下载】2016阿里安全峰会重点资料新鲜开放,不能 ... -
tomcat 6中设置强session id
2014-11-11 15:05 1704在tomcat 6中,默认的生成session id的长度 ... -
使用ibm app scan漏洞扫描的教程
2014-11-06 10:02 1120使用ibm app scan漏洞扫描的教程 http://w ... -
使用ibm app scan漏洞扫描的教程
2014-11-06 08:52 1271使用ibm app scan漏洞扫描的教程 http://w ... -
(转)十大关系数据库SQL注入工具一览
2012-04-17 08:41 1775众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同 ... -
严重漏洞攻击:影响PHP、Java和ASP.NET
2012-01-27 21:15 1848安全研究员Alexander Klink和Julian Wal ... -
CSDN其实一早知道密码不安全
2011-12-21 20:38 4278http://robbin.iteye.com/blog/13 ... -
CSDN密码大泄露事件点评
2011-12-21 20:03 2951CSDN今天的密码外泄事件,震惊IT界: 1 对于CSDN ... -
(转)基于fiddler来模拟限速
2011-11-28 15:27 2234适应读者 FE研发工程师 ... -
防DDOS流量清洗系统简介
2011-10-11 14:33 12510今天偶然学习到了防止DDOS攻击的流量清洗系统,它其实的 ... -
asp.net 3.5以上的scriptmanager
2011-01-07 23:42 2232如果在一个应用中,调用很多JS文件,性能上有可能不大好, 在A ... -
能让QQ跟360共存的方法
2010-11-03 22:27 1703今天终于QQ跟360大干一场了,暂时的方法可以让QQ跟360共 ... -
盘点2010年最佳开源网络软件
2010-09-15 08:38 2459本人新翻译的文,原文发表在 http://tech.it168 ... -
(转)DDoS攻击全面解析
2010-07-12 11:02 2315原文链接:http://bbs.linux ... -
(转)禁止QQ直播、p2p软件的方法
2006-06-16 09:31 2146最近估计大家为这个也犯愁了,刚好找到有文章介绍的封qq直播端口 ... -
子网掩码计算小结
2006-06-25 01:25 19781、基本原理 ... -
(转)WEB专用服务器的安全设置
2006-07-06 08:46 1558IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web ... -
win2003的一个安全设置
2007-04-04 19:36 1292今天在搞一个服务器时,按照网上的说法,把filesystemo ...
相关推荐
2. 批量处理:高级的MD5计算工具支持批量处理,用户可以一次性选择多个文件或整个文件夹,快速获取所有文件的MD5值,这对于大量文件的校验非常高效。 3. 拷贝与比较:工具通常提供便捷的方式复制哈希值到剪贴板,...
描述中的“值得关注的开源软件推荐1”进一步强调了这些软件的重要性,它们可能是对个人或企业有实用价值的工具,或者是技术创新的代表,值得我们关注和学习。 基于标签“软件/插件”,我们可以推断这些推荐的开源...
### 开源工具调研报告 #### 一、BI系统的简述及分类 商务智能(Business Intelligence,简称BI)系统是一套全面的数据分析与决策支持体系,它涵盖了数据的收集、整理、分析以及展示等多个方面。从技术层面来看,BI...
这对于大型项目或者需要多个译员协作完成的任务尤为重要。 #### 三、术语管理 除了翻译记忆库外,**术语管理**也是OmegaT的重要特性之一。通过维护一个术语库,译者可以确保在整个文档或项目中术语的统一性和正确...
.NET开源反编译工具,如IL Spy,是程序员和开发者们的重要工具,它允许用户查看、分析和理解已编译的.NET程序集的内部结构。本文将深入探讨IL Spy的功能、工作原理及其在.NET开发中的应用。 IL Spy,全称为...
总的来说,这个开源工具的价值在于其易用性、灵活性和社区支持。通过持续的更新和优化,我们可以预见它将变得更加完善,满足更多用户的需求。如果你对数据库管理有兴趣或者需要这样的工具,这个开源项目绝对值得你一...
小便签工具是一款在CodePlex上开源的桌面应用程序,专为提高个人生产力而设计。它以其简单易用和高效性赢得了用户...无论是对程序员还是普通用户,它都是一个值得尝试的工具,特别是考虑到其开源性质带来的无限可能性。
KeePass(KeePass Password Safe)是一款免费、小巧、绿色且开源的密码管理工具。它能为你提供一个足够安全的加密技术来保存各种各样的账号和密码。KeePass 就像一个密码保险箱,无聊你的密码再多再复杂,它都能...
作为对Airtable的开源免费替代品,维格表社区版在保留了类似的功能特性的同时,提供了更加开放和自定义的可能性。 低代码技术是近年来IT领域的热点之一,它降低了应用程序开发的门槛,使得非专业程序员也能通过图形...
- 安全性:提供多层次的安全控制。 - 移动支持:支持移动设备上的访问和交互。 #### 二、开源BI工具 **2.1 开源BI工具简介** 开源BI工具因其成本效益和灵活性受到许多企业和开发者的青睐。以下是一些流行的开源BI...
ProxyPin是一款跨平台的免费开源抓包工具,它旨在为开发者和网络安全专业人士提供便利,可以在Windows、Mac、Android以及iOS操作系统上使用。该工具的独特之处在于其基于Flutter框架的开发,Flutter是Google推出的一...
【飞鸽】是一款基于C++编写的开源即时通讯工具,其设计目的是为了提供一个可定制化、可扩展的通信平台...无论你是想要了解即时通讯的底层实现,还是希望参与开源项目贡献自己的力量,飞鸽都是一个值得探索的宝贵资源。
总的来说,Path Painter作为一个免费的开源工具,极大地拓展了Unity在路径绘制方面的可能性。开发者无需深入复杂的地形编辑代码,就能快速构建出丰富多彩的场景。它的存在不仅提升了开发效率,也为游戏世界的细节...
4. **版本更新与补丁**:文件列表中包含了多个版本补丁,如CMSTUAN_Patch_CV2.0_xxx_yyy.rar,这些补丁用于从旧版本升级到CV3.0_0219,修复可能存在的问题,提升系统的稳定性和安全性。升级与功能更新历史.txt文件则...
值得注意的是,由于Scrender是开源的,这意味着你不仅可以免费使用,还可以深入研究其源代码,了解它是如何工作的,甚至根据自己的需求进行定制和扩展。社区的支持也是开源项目的一大优点,遇到问题时,你可以查阅...
2. **开源性质**:作为一款开源工具,Bruno允许用户自由查看和修改其源代码,这不仅增加了透明度,也为开发者提供了更多的定制化可能。 3. **本地存储**:不同于许多云服务,Bruno将API集合直接存储在用户的文件...
Vidcoder 是一款免费开源的视频下载、编辑、配...在这个网络版权严查的时代,开源软件已经是许多办公一族的爱好和选择之地,Vidcoder 作为免费开源软件,而且功能也很强大,对于喜爱视频编辑的朋友来说,你值得拥有。
CNR系统宣称,你只需要用鼠标点击一下就可以实现大多数常见Linux系统下的...无论如何,Kdelive在可用性方面要比现在已经成熟很多的Linux视频编辑工具都好很多。Ardour: 你可以把Ardour看作专业音频工程师经常使用的。
**开源录屏工具Captura与FFmpeg的整合** 在当今数字化的世界中,录屏软件已经成为许多用户和专业人士不可或缺的工具,无论是...对于那些寻求高效、免费且灵活的录屏工具的用户来说,Captura无疑是一个值得尝试的选择。