新书推荐:Web安全深度剖析

发表于 2015-03-24 11:05:28 by admin

本书总结了当前最为流行的高危漏洞形成原因、攻击手段及解决方案。并通过大量的示例代码复现漏洞原型、制作模拟环境,更好的帮助读者深入了解Web应用程序中存在的安全漏洞。本书刨除了一些研究性、纯理论性的课题,也就是外表看似很高端,但是实用性不大的课题。本书所总结的漏洞,可以说是刀刀见血、剑剑穿心,直接危害到企业安全的漏洞。本书也是笔者这些年来的工作总结,几乎每个一个场景都是最为常见的,如果你从事Web渗透测试相关的工作就肯定能碰到本书中的场景。

什么是通用弱点枚举(CWE)

发表于 2013-06-26 08:40:14 by admin

通用弱点枚举(Common Weakness Enumeration)是一个软件社区项目,它的定位在于创建一个软件弱点和漏洞的类目。项目的目标是让人们更好地理解软件的缺陷并创建能够识别、修复以及阻止此类缺陷的自动化工具。CWE的为程序员和安全从业者提供了一个有条理的软件弱点类型库,其目的在于:(1)作为一种通用的语言来描述软件在架构、设计以及编码等环节存在的安全弱点。(2)作为安全工具在处理这些弱点所使用的通用标尺。(3)为弱点的识别、缓解以及预防提供一种通用的基线标准......

SCAP相关开源工具介绍

发表于 2013-04-01 02:40:55 by admin

开源领域有很多与SCAP 相关的项目,其中比较重要的有OpenSCAP、OVALDi、jOVALDi以及eSCAPe等,这些项目形成了对SCAP的一套完整的开发和利用体系,eSCAPe用于SCAPContent的生成,而OpenSCAP、OVALDi用于执行基于SCAP的扫描。本文结合一些实例,着重对这些免费的SCAP开源工具进行介绍。

安全内容自动化协议(SCAP)概览

发表于 2013-04-01 01:15:55 by admin

SCAP(Security Content Automation Protocol:安全内容自动化协议)由NIST(National Institute of Standards and Technology:美国国家标准与技术研究院)提出,NIST期望利用SCAP解决三个棘手的问题:一是实现高层政策法规(如FISMA,ISO27000系列)等到底层实施的落地,二是将信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量),三是将复杂的系统配置核查工作自动化。SCAP是当前美国比较成熟的一套信息安全评估标准体系,其标准化、自动化的思想对信息安全行业产生了深远的影响。

怎样使用SCAP中文社区的资源

发表于 2013-01-07 00:02:04 by admin

截止现在,本站主要收录了6万余条CVE数据(2002年以来),以及16000余条OVAL数据。并提供了有史以来最为详细的CVE中文解释以和OVAL的判定逻辑表达式的解析。本站深入分析了大量的数据,并完成了CVE与OVAL之间的映射:即如果一个CVE漏洞存在相应的OVAL漏洞检查技术细节,那么在本站在两个数据之间会有直接的链接,点击相关链接能够相互跳转(如CVE-2013-0095),这为漏洞分析人员的工作提供了极大的方便。

真诚的希望您能为这个正在建设中的网站提出宝贵的意见,如果有意见,请在本文中留言,或直接给我发邮件scap.org.cn@gmail.com。由于网站还处于开发过程中,安全漏洞、逻辑错误等在所难免,如果发现了问题请一定要和我联系。

什么是SCAP中文社区

发表于 2013-01-06 23:58:49 by admin

SCAP中文社区是一个安全资讯聚合与利用平台,当前的社区中集成了SCAP框架协议中的CVE、CVSS、OVAL、CCE、CPE、CWE等6种网络安全相关标准数据库。用户可以方便地使用本站对CVE漏洞库、OVAL漏洞检查语言以及CPE平台列表进行查询。

12下一页尾页 第1页 / 共2页

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站