- 浏览: 7854681 次
- 性别:
- 来自: 广州
文章分类
- 全部博客 (2425)
- 软件工程 (75)
- JAVA相关 (662)
- ajax/web相关 (351)
- 数据库相关/oracle (218)
- PHP (147)
- UNIX/LINUX/FREEBSD/solaris (118)
- 音乐探讨 (1)
- 闲话 (11)
- 网络安全等 (21)
- .NET (153)
- ROR和GOG (10)
- [网站分类]4.其他技术区 (181)
- 算法等 (7)
- [随笔分类]SOA (8)
- 收藏区 (71)
- 金融证券 (4)
- [网站分类]5.企业信息化 (3)
- c&c++学习 (1)
- 读书区 (11)
- 其它 (10)
- 收藏夹 (1)
- 设计模式 (1)
- FLEX (14)
- Android (98)
- 软件工程心理学系列 (4)
- HTML5 (6)
- C/C++ (0)
- 数据结构 (0)
- 书评 (3)
- python (17)
- NOSQL (10)
- MYSQL (85)
- java之各类测试 (18)
- nodejs (1)
- JAVA (1)
- neo4j (3)
- VUE (4)
- docker相关 (1)
最新评论
-
xiaobadi:
jacky~~~~~~~~~
推荐两个不错的mybatis GUI生成工具 -
masuweng:
(转)JAVA获得机器码的实现 -
albert0707:
有些扩展名为null
java 7中可以判断文件的contenttype了 -
albert0707:
非常感谢!!!!!!!!!
java 7中可以判断文件的contenttype了 -
zhangle:
https://zhuban.me竹板共享 - 高效便捷的文档 ...
一个不错的网络白板工具
多个值得关注的开源免费安全漏扫工具
- 博客分类:
- 网络安全等
多个值得关注的开源免费安全漏扫工具,来自https://www.javacodegeeks.com/2019/04/microservices-for-java-developers-security-testing-scanning.html,重点提到如下开源安全漏扫工具:
1)find security bug
这个是一个结合在各类IDE得findbug插件得其中一个可谓“子插件”了,必须在IDE中先安装了findbug,
地址在:http://find-sec-bugs.github.io/,
2)Zed Attack Proxy - Web应用程序渗透测试工具
Zed Attack Proxy (ZAP)是一个易于使用的、用于查找Web应用程序漏洞的渗透测试工具。ZAP是为具有丰富安全经验的人员设计的,同时,也是渗透测试新手用于开发和功能测试的最佳工具。ZAP提供了自动化的扫描工具,而且也提供一系列工具用于手动寻找安全漏洞。 地址在:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3) Archery:开源漏洞扫描平台
Archery是一款开源的漏洞评估和管理工具,它可以帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用流行的开源工具来执行对Web应用及网络的全面扫描。它还可执行Web应用程序动态验证扫描,并使用selenium覆盖整个应用程序。开发人员也可以使用该工具来实现其DevOps CI/CD环境。
工具概述 使用开源工具执行Web和网络漏洞扫描。 关联和协作所有原始扫描数据,并最终以合并的方式展示它们。 执行Web应用程序验证扫描。 使用selenium执行Web应用程序扫描。 漏洞管理。 支持通过REST API来执行扫描和漏洞管理。 适用于DevOps团队的漏洞管理。
地址:https://github.com/archerysec/archerysec
4) SAP开源的静态代码扫描工具
https://github.com/SAP/vulnerability-assessment-tool
SAP 发布了 Vulnerability Assessment Tool
的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对 600 多个项目进行了 20,000 次扫描。
Vulnerability Assessment Tool 侧重于检测脆弱的组件,如 OWASP-Top 10 2017 A9
所述的那些。这个工具会扫描软件包中的直接依赖项和间接依赖项,然后将每个依赖项与已知源(如 国家漏洞数据库
或 CVE 列表)进行比较,确定每个软件包是否存在已知的漏洞。在开发过程中,这些知识可以告诉开发人员何时应该升级某些组件。在运营期间,当发现新的漏洞时,可以使用这些信息来定位需要采取行动的应用程序。
2017 年,Equifax 未能对 Apache Struts 及时打上 CVE-2017-9805
补丁导致数据泄露,自从这次事件之后,SCA 就成了软件行业的关键一环。这次数据泄露事件总共丢失了 1.43 亿条记录,预计总损失超过 6 亿美元。Apache 软件基金会先前发布了“ Apache Struts 有关 Equifax 数据泄露的声明
”,其中就提到了一些 Vulnerability Assessment Tool 需要解决的问题,例如:
了解软件产品中使用了哪些支持框架和库,以及它们的版本,并跟踪影响这些产品和版本的安全公告。
建立一个流程,以便在需要更新支持框架或库时可以快速推出软件产品的安全补丁。最好是以小时或几天为单位,而不是几周或几个月。我们所知道的大多数漏洞都是由于没有更新软件组件造成的,而这些组件在数月甚至数年内都是已知的易受攻击源。
SAP 的新工具不仅仅是列出文件,它还会执行一定级别的静态代码安全性测试(SAST),以评估每个组件的使用情况。这是为了在可能存在脆弱但不在使用中的组件的情况下最小化误报。例如,一个工具将 JRE 本身标记为容易受到 applet 漏洞攻击,比如 CVE-2016-0636
,但 JRE 主要用于服务器端,applet 从未被使用。
很多组织都会执行静态代码分析,作为在发布前检测代码级别漏洞的安全措施。具体来说, PCI 安全软件标准
的 8.4.b 章节和 NIST 800-53 的 SA-4 章节
提到了代码审查,以及其他分析代码的检测机制,比如二进制分析。另一个选项是通过集成应用程序安全性测试(IAST)持续监控应用程序行为。
项目文档解释了安全测试静态分析领域的几个限制。具体来说,它提到了对非静态信息(如 Java 9 的多 JAR
)缺少支持。这个 Java 特性提供具有相同名称空间的多个类文件,JRE 会在运行时选择适当的类和行为。在静态上下文中,如果没有运行时,有关此决策的信息将会丢失,因此分析程序必须选择所有路径,或者默认选择主类位置。SAP 的工具选择了后者,并为 Java 提供了一个类似于 IAST 的动态工具,以弥补静态安全分析的不足,并检测哪些文件被使用过。
5) XSStrike
地址:https://github.com/s0md3v/XSStrike
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
两个不错的教程文章:https://www.zhangshengrong.com/p/AvN6KVWXmx/
http://www.kb-iot.com/post/879.html
---------------------
1)find security bug
这个是一个结合在各类IDE得findbug插件得其中一个可谓“子插件”了,必须在IDE中先安装了findbug,
地址在:http://find-sec-bugs.github.io/,
2)Zed Attack Proxy - Web应用程序渗透测试工具
Zed Attack Proxy (ZAP)是一个易于使用的、用于查找Web应用程序漏洞的渗透测试工具。ZAP是为具有丰富安全经验的人员设计的,同时,也是渗透测试新手用于开发和功能测试的最佳工具。ZAP提供了自动化的扫描工具,而且也提供一系列工具用于手动寻找安全漏洞。 地址在:https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
3) Archery:开源漏洞扫描平台
Archery是一款开源的漏洞评估和管理工具,它可以帮助开发和渗透测试人员执行漏洞扫描及管理漏洞。Archery使用流行的开源工具来执行对Web应用及网络的全面扫描。它还可执行Web应用程序动态验证扫描,并使用selenium覆盖整个应用程序。开发人员也可以使用该工具来实现其DevOps CI/CD环境。
工具概述 使用开源工具执行Web和网络漏洞扫描。 关联和协作所有原始扫描数据,并最终以合并的方式展示它们。 执行Web应用程序验证扫描。 使用selenium执行Web应用程序扫描。 漏洞管理。 支持通过REST API来执行扫描和漏洞管理。 适用于DevOps团队的漏洞管理。
地址:https://github.com/archerysec/archerysec
4) SAP开源的静态代码扫描工具
https://github.com/SAP/vulnerability-assessment-tool
SAP 发布了 Vulnerability Assessment Tool
的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对 600 多个项目进行了 20,000 次扫描。
Vulnerability Assessment Tool 侧重于检测脆弱的组件,如 OWASP-Top 10 2017 A9
所述的那些。这个工具会扫描软件包中的直接依赖项和间接依赖项,然后将每个依赖项与已知源(如 国家漏洞数据库
或 CVE 列表)进行比较,确定每个软件包是否存在已知的漏洞。在开发过程中,这些知识可以告诉开发人员何时应该升级某些组件。在运营期间,当发现新的漏洞时,可以使用这些信息来定位需要采取行动的应用程序。
2017 年,Equifax 未能对 Apache Struts 及时打上 CVE-2017-9805
补丁导致数据泄露,自从这次事件之后,SCA 就成了软件行业的关键一环。这次数据泄露事件总共丢失了 1.43 亿条记录,预计总损失超过 6 亿美元。Apache 软件基金会先前发布了“ Apache Struts 有关 Equifax 数据泄露的声明
”,其中就提到了一些 Vulnerability Assessment Tool 需要解决的问题,例如:
了解软件产品中使用了哪些支持框架和库,以及它们的版本,并跟踪影响这些产品和版本的安全公告。
建立一个流程,以便在需要更新支持框架或库时可以快速推出软件产品的安全补丁。最好是以小时或几天为单位,而不是几周或几个月。我们所知道的大多数漏洞都是由于没有更新软件组件造成的,而这些组件在数月甚至数年内都是已知的易受攻击源。
SAP 的新工具不仅仅是列出文件,它还会执行一定级别的静态代码安全性测试(SAST),以评估每个组件的使用情况。这是为了在可能存在脆弱但不在使用中的组件的情况下最小化误报。例如,一个工具将 JRE 本身标记为容易受到 applet 漏洞攻击,比如 CVE-2016-0636
,但 JRE 主要用于服务器端,applet 从未被使用。
很多组织都会执行静态代码分析,作为在发布前检测代码级别漏洞的安全措施。具体来说, PCI 安全软件标准
的 8.4.b 章节和 NIST 800-53 的 SA-4 章节
提到了代码审查,以及其他分析代码的检测机制,比如二进制分析。另一个选项是通过集成应用程序安全性测试(IAST)持续监控应用程序行为。
项目文档解释了安全测试静态分析领域的几个限制。具体来说,它提到了对非静态信息(如 Java 9 的多 JAR
)缺少支持。这个 Java 特性提供具有相同名称空间的多个类文件,JRE 会在运行时选择适当的类和行为。在静态上下文中,如果没有运行时,有关此决策的信息将会丢失,因此分析程序必须选择所有路径,或者默认选择主类位置。SAP 的工具选择了后者,并为 Java 提供了一个类似于 IAST 的动态工具,以弥补静态安全分析的不足,并检测哪些文件被使用过。
5) XSStrike
地址:https://github.com/s0md3v/XSStrike
XSStrike是一款检测Cross Site Scripting的高级检测工具。它集成了payload生成器、爬虫和模糊引擎功能。XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载。除此之外,XSStrike还具有爬行,模糊测试,参数发现,WAF检测功能。它还会扫描DOM XSS漏洞。
两个不错的教程文章:https://www.zhangshengrong.com/p/AvN6KVWXmx/
http://www.kb-iot.com/post/879.html
---------------------
发表评论
-
分享一篇不错的网络安全建设文章
2017-11-25 07:57 684https://mp.weixin.qq.com/s/pNeC ... -
WIN10关闭445端口
2017-05-13 08:38 1487https://jingyan.baidu.com/artic ... -
【67份PDF下载】2016阿里安全峰会重点资料新鲜开放,不能错过!
2016-07-30 21:00 758【67份PDF下载】2016阿里安全峰会重点资料新鲜开放,不能 ... -
tomcat 6中设置强session id
2014-11-11 15:05 1650在tomcat 6中,默认的生成session id的长度 ... -
使用ibm app scan漏洞扫描的教程
2014-11-06 10:02 1088使用ibm app scan漏洞扫描的教程 http://w ... -
使用ibm app scan漏洞扫描的教程
2014-11-06 08:52 1232使用ibm app scan漏洞扫描的教程 http://w ... -
(转)十大关系数据库SQL注入工具一览
2012-04-17 08:41 1744众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同 ... -
严重漏洞攻击:影响PHP、Java和ASP.NET
2012-01-27 21:15 1820安全研究员Alexander Klink和Julian Wal ... -
CSDN其实一早知道密码不安全
2011-12-21 20:38 4231http://robbin.iteye.com/blog/13 ... -
CSDN密码大泄露事件点评
2011-12-21 20:03 2951CSDN今天的密码外泄事件,震惊IT界: 1 对于CSDN ... -
(转)基于fiddler来模拟限速
2011-11-28 15:27 2204适应读者 FE研发工程师 ... -
防DDOS流量清洗系统简介
2011-10-11 14:33 12418今天偶然学习到了防止DDOS攻击的流量清洗系统,它其实的 ... -
asp.net 3.5以上的scriptmanager
2011-01-07 23:42 2180如果在一个应用中,调用很多JS文件,性能上有可能不大好, 在A ... -
能让QQ跟360共存的方法
2010-11-03 22:27 1654今天终于QQ跟360大干一场了,暂时的方法可以让QQ跟360共 ... -
盘点2010年最佳开源网络软件
2010-09-15 08:38 2406本人新翻译的文,原文发表在 http://tech.it168 ... -
(转)DDoS攻击全面解析
2010-07-12 11:02 2283原文链接:http://bbs.linux ... -
(转)禁止QQ直播、p2p软件的方法
2006-06-16 09:31 2099最近估计大家为这个也犯愁了,刚好找到有文章介绍的封qq直播端口 ... -
子网掩码计算小结
2006-06-25 01:25 19351、基本原理 ... -
(转)WEB专用服务器的安全设置
2006-07-06 08:46 1496IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web ... -
win2003的一个安全设置
2007-04-04 19:36 1249今天在搞一个服务器时,按照网上的说法,把filesystemo ...
相关推荐
KeePass(KeePass Password Safe)是一款免费、小巧、绿色且开源的密码管理工具。它能为你提供一个足够安全的加密技术来保存各种各样的账号和密码。KeePass 就像一个密码保险箱,无聊你的密码再多再复杂,它都能...
Vidcoder 是一款免费开源的视频下载、编辑、配...在这个网络版权严查的时代,开源软件已经是许多办公一族的爱好和选择之地,Vidcoder 作为免费开源软件,而且功能也很强大,对于喜爱视频编辑的朋友来说,你值得拥有。
CNR系统宣称,你只需要用鼠标点击一下就可以实现大多数常见Linux系统下的...无论如何,Kdelive在可用性方面要比现在已经成熟很多的Linux视频编辑工具都好很多。Ardour: 你可以把Ardour看作专业音频工程师经常使用的。
开源免费解压缩软件 7-Zip ZS 中文多语免费版开源免费解压缩软件 7-Zip ZS 中文多语免费版 支持绝大多数存档格式 GUI与7-Zip相似,因此,从界面或上下文菜单创建新存档或解压缩数据应该没有问题。说到上下文菜单,这...
您将能够在一个应用程序中使用所有这些工具,该应用程序支持多个选项卡,GPU加速和大量自定义。 开发人员的新工具 长期以来,Windows 上可用的命令行环境不如 macOS 和 Linux 上的命令行环境。多年来,微软已经采取...
适用于 Win10 的开源免费记事本 Notepads 中文版适用于 Win10 的开源免费记事本 Notepads 中文版 一段时间以来,Microsoft 一直在努力基于 Fluent Design 对其应用程序和 Windows 实用程序进行现代化更新,但是 ...
您将能够在一个应用程序中使用所有这些工具,该应用程序支持多个选项卡,GPU加速和大量自定义。 开发人员的新工具 长期以来,Windows 上可用的命令行环境不如 macOS 和 Linux 上的命令行环境。多年来,微软已经采取...
传统上Qt被认为是可移植的GUI库,但实际上Qt现在已经是一个比较完整的可移植应用程序框架了,其中包含了大量的工具,比如正则表达式、Web和 Socket类、2D和3D图形、XML解析、SQL类等,甚至还包括了一个完整的容器...
它提供了多个面板和工具栏,可以帮助用户快速找到所需的功能和工具。用户还可以自定义工作区,以适应自己的需求和工作流程。 总之,GIMP是一款功能强大、免费、开源的图像编辑软件,提供了丰富的编辑工具和高级功能...
WDSsoft的一款免费源代码 JCT 1.0,它是一个Java加密解密常用工具包。 Java局域网通信——飞鸽传书源代码 28个目标文件 内容索引:JAVA源码,媒体网络,飞鸽传书 Java局域网通信——飞鸽传书源代码,大家都知道VB...
这个库和 Flask 类似,但是比它快很多,速度能在测试中达到每秒 36000 次请求。在2017年的 Star 增长数几乎是翻了一倍。Gotta go faster! 环境与包管理:Pipenv https://github.com/pypa/pipenv 这个库相当于是...
Y坐标、得到X坐标,Y坐标值、绘制火焰效果Image…… Java加密解密工具集 JCT v1.0源码包 5个目标文件 内容索引:JAVA源码,综合应用,JCT,加密解密 WDSsoft的一款免费源代码 JCT 1.0,它是一个Java加密解密常用工具包。...
Framework 而来, 我个人认为Revel是目前Go语言中比较不错的一个Web开发框架, 虽然它还有很多待完善的地方但还是很值得学习和借鉴滴, 我在这里记录一下偶的对它滴研究过程,以作备忘,也希望能和喜欢它的朋友们一起...
随着越来越多的多媒体文件类型可供用户使用,将这些文档转换为更常见格式的实用程序几乎成比例增加,大眼仔旭给您推荐这款免费开源的轻量级视频编码压制工具 ShanaEncoder 中文版。 轻量级视频编码压制工具 ...
这部分内容包含了多个精心设计的Android项目案例,从需求分析、设计思路到实现过程,都有详细的讲解和代码示例。学习者可以通过实际操作,深入了解Android开发的整个流程,提升自己的实战能力。 此外,我们还提供了...
开源的一个java工具包 本身包含了很多比如时间,缓存,线程等多方面的工具类 大大提高开发效率 你值得拥有
当前的仓库已经收集了570多个Linux命令。 这是一个非营利性仓库。 它已经生成了一个易于使用的网站。 当前,该站点没有任何广告。 内容包括Linux命令手册,详细说明和学习。 非常值得收集Linux命令快速参考手册。 ...
NetTime 是易于使用,免费且开源的时间同步客户端,可为您提供 RFC868 和 SNTP 的服务器和客户端。它能够同步到自定义和预定义服务器的列表,以更改系统时钟。如果它连接到多台服务器,则该应用会计算所有服务器之间...
它是完全免费和开源的,并且不使用互联网。随时为 GitHub 上的项目做贡献。还请通过创建问题来报告那里的任何问题。 自动关机辅助工具 Shutdown Timer Classic 中文版自动关机辅助工具 如果您曾经希望有一个可以在...