洞察是宜信安全部用来对公司内部系统所出现的安全漏洞进行线上全生命周期管理的漏洞管理平台。
主要由3部分组成:
应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。
漏洞生命周期管理:对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算、修复期限计算、邮件提醒、漏洞数据分析统计等。
安全知识库管理:对安全知识、管理制度进行集中存放、线上学习、安全培训、知识传承等。
发布者:常山赵子龙,转载请注明出处:https://www.qztxs.com/archives/science/technology/11708
微信扫一扫
支付宝扫一扫
0x00 前言 很久没有更新blog了,这次把几个笔记分享一下,AWVS自带的IAST功能,很多人都不知道,这里记录一下IAST如何使用 0x01 扫描器部署 这里笔记写的较早,版本还是awvs13 1 2 3 4 5 6 7 8 9 10 # pull 拉取下载镜像 docker pull secfa/docker-awvs # 将Docke...
简单来说:不管哪个“好”还是不“好”,RESTful API在很多实际项目中并不实用。因此真的做了项目,你可能会发现只能用HTTP+JSON来定义接口,无法严格遵守REST风格。 为什么说不实际呢?因为这个风格太理想化了,比方说: REST要求要将接口以资源的形式呈现。但实际上,很多时候都不太可能将一些业务逻辑看作资源。即使强制这么干了,也会非常非常别扭。登...
前言 洞态IAST上线有一段时间了,基于被动式IAST技术,高检出率和低误报率等特点,很好的集成到devops流程中,增加我们的效率,然而每次发现漏洞后没有及时查看导致漏洞处理上的滞后,这里通过钉钉群里机器人做自动化告警,使IAST使用上闭环起来 钉钉群聊机器人(这里可以使用飞书、企业微信等都可以的) 群里机器人文档:https://devel...
相信大家偶尔会遇到缓存与数据库不一致的问题。今天聊聊这个话题。 数据库主从,为什么会不一致? 先回顾下,无缓存时,数据库主从不一致问题。 如上图,发生的场景是,写后立刻读: (1)主库一个写请求(主从没同步完成); (2)从库接着一个读请求,读到了旧数据; (3)最后,主从同步完成; 导致的结果是:主动同步完成之前,会读取到旧数据。 可以看到,主...
0x00 前言 TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下 0x01 WCM内容管理系统 1.1 WCM5.2~WCM6.5存在SQL注入 首先是这个页面,http://xx.xx...
