問題タブ [nessus]

nessus スキャンの実行中に、重要度が「情報」のいくつかの問題が報告されました。これらをその製品/モジュールに対するセキュリティの脆弱性と見なすべきでしょうか。

Nessus のドキュメントは、この点に関してあまり明確ではありません。一般的な業界慣行を知りたい。

API に接続し、すべてのレポートを 1 回でダウンロードできる Ruby スクリプトをダウンロードしました。ただし、これらのレポートをダウンロードするときに、実際のファイル名に開始時刻と終了時刻を含めることが重要です。スクリプトを変更して、ファイル名に自動的に追加される 6 つのガベージ文字を削除することができました。また、テストのために、csv 拡張子の前に「2x」を追加することができました (csv 形式のみをダウンロードする予定です)。

問題は、Nessus API がこの開始時間と終了時間を抽出できる変数を提供していないことです。私の唯一の他のオプションは、サイト自体から取得することです. 実際のレポートは にありhttps://nessus-scanner-ip/#/scans/<id>/hostsます。コンテンツとしてそのリンクにアクセスすると、開始時間と終了時間がリストされます。この時間を抽出して、軍事時間のレポート ファイル名に追加するにはどうすればよいですか?

助けてくれてありがとう。

Nessus 脆弱性スキャナーは、レガシー コード Web サイトに対して実行されました。PHP でヌル バイト インジェクション攻撃を防ぐ方法については多くのアドバイスがありますが、VBScript を使用した従来の ASP でこれを修正する方法については何も見つかりません。

私たちの公開サイトに対するスキャナーの攻撃は次のとおりです。

入力に有効性チェックを追加しようとしましたが、うまくいきませQueryStringんでした。%00適切な値をチェックしようとする私の試みを覆い隠す結果についての何か。関連するコード スニペットを次に示します。

適切なメニュー値は次のいずれかです。

• 完全に欠落している (つまり、Menu=にないQueryString)
• Select Case上記のロジックでスケッチした一連の有効な値の一部

私の開発マシンでは、に変更%00し%0て、エラーにResponse.Writeメッセージを付けてフラグを立てることができます then Response.End、しかし、何かが%00それをチェックしようとする試みを通り過ぎてしまいます。