11 min
App 保护
JSON中的XSS:现代应用程序的老派攻击
这篇文章强调了跨站点脚本是如何适应今天的现代web应用程序的, 特别是API和Javascript对象符号(JSON).
4 min
脆弱性管理
CVE-2020-6287: SAP NetWeaver应用服务器(AS) Java中的严重漏洞
新的SAP漏洞(RECON), 一个影响SAP NetWeaver Application Server (AS) Java组件LM Configuration Wizard的严重漏洞, is a huge deal.
1 min
Research
一个串行问题:Java序列化对象的开发和暴露
在我们新的研究报告中, 我们来看看Java序列化对象(jso), 哪些是可靠的威胁载体,并对企业网络构成日益严重的威胁.
2 min
Javascript
什么是Javascript源地图?
最小化和合并资产(Javascript)通常是一个很好的做法 &
CSS)在部署到生产环境时. 这个过程减少了你的资产规模
并显著提高您的网站的加载时间.
源映射创建一个从这些压缩资源文件到源的映射
files.
此源映射允许您调试和查看压缩的源代码
资产,就好像你实际上是在使用原始的CSS和Javascript
source code.
看看jQuery minifi
4 min
App 保护
AppSpider应用安全扫描解决方案深化了对单页应用- ReactJS的支持
今天,Rapid7很高兴地宣布AppSpider(应用程序安全)
扫描)更新,包括增强对JavaScript单页的支持
用ReactJS构建的应用(spa). 这个版本很重要,因为spa
是否正在迅速扩散并日益对安全构成挑战
teams. 确保SPA的一些关键挑战是:
1. 多样的框架——JavaScript框架的多样性和数量
增加了寻找合适扫描co的复杂性
5 min
Javascript
客户端登录Javascript
开发人员正在编写设计越来越复杂的Javascript应用程序
在web浏览器、桌面和服务器上运行. Javascript应用程序
已经达到了一个成熟的水平,意味着他们正在经营重要的业务
operations. 它们现在必须具有更强的可维护性和可支持性
在企业中达到了这个级别的责任. Javascript
应用程序应提供相同的信息,以支持和
像其他应用程序一样进行维护
1 min
Patch Tuesday
Oracle Java JRE AES intrinsic远程拒绝服务漏洞(CVE-2015-2659)
u46之前的Java 8服务器版本容易受到远程未身份验证的影响
拒绝服务(硬崩溃),当使用AES本质(AES- ni) CPU
支持的处理器上的扩展. 默认情况下,AES的内在特性是启用的
如果Oracle JVM检测到处理器的能力,这是常见的
2010年以后生产的现代处理器. 有关AES-NI的更多信息,请参见
Wikipedia
article [http://en.wikipedia.org/wiki/AES_instruction_set].
此问题在OpenJDK p中进行了跟踪
4 min
Haxmas
十二天的哈玛斯节:对犹太教的改进
这篇文章是“哈玛斯的12天”系列文章的第三篇,我们来看看
下面是Metasploit框架中一些值得注意的进步和事件
the course of 2014.
几个月前,魏新网[http://twitter].我和陈下了飞机
对Metasploit的Javascript混淆器jsobfu进行了一些改进. Most notably,
我们把它搬到了自己的回购上[http://github].http://www.rapid7/jsobfu]和gem
[http://rubygems.将其封装在测试中,增强了它的AV
resilience, and
5 min
Exploits
在NoScript条件下利用CSRF
csrf——或跨站点请求伪造
[http://wlp.wjqklgz.com/fundamentals/cross-site-request-forgery/]
漏洞——当服务器接受可能被“欺骗”的请求时发生。
从运行在不同域上的站点. 攻击是这样的:
你,作为受害者,登录了某个网站,比如你的路由器
配置页,并具有有效的会话令牌. 攻击者让你
点击一个链接,发送命令到该网站代表你,没有
your knowledge
4 min
Haxmas
12天的苦难:利用(和修复)RJS Rails信息泄漏
这篇文章是“哈玛斯的12天”系列文章的第五篇,我们来看看
Metasploit框架的一些更显著的进步
2013.
几周前,Egor Homakov写了一篇博客文章
[http://homakov.blogspot.com/2013/11/rjs-leaking-vulnerability-in-multiple.html]
指出了一个常见的信息泄露漏洞,存在于许多Rails应用程序中
Remote JavaScript. 攻击向量和影响可能很难包装
所以在这篇文章中,我将解释什么
2 min
Nexpose
多租户用户发放
Introduction
在expose中执行批量操作可能非常耗时. A good example is
用户配置,这可能需要很长时间. 为节省时间,请使用expose
api是节省时间和消除容易出错过程的有效方法
手工做所有的事情. 在这篇博文中,我想向你演示如何
可以使用expose API管理用户吗. 我将使用开源Java API
该客户端可在clee-r7/nexpose_java_api·GitHub上获得
[http://github.com/clee-
0 min
Nexpose
使用Java API客户端暴露报告
曝光报道变得更容易了!
现在,您可以通过交互式工具管理和生成expose报告
利用了expose Java API客户端的应用程序.
下面是当前支持的选项列表.
1. List Reports
2. Generate Reports
3. Delete Reports
4. 删除报告配置(以及所有关联的报告)
5. 查看报表配置
6. 查看报表历史
附件是应用程序的副本和源代码,以便您可以轻松地
修改和扩展其功能
5 min
Javascript
使用expose API一次性创建一群用户
我想花点时间和大家分享一个使用expose的例子
API,使用CSV文件一次创建一批用户. Sounds
好得令人难以置信?
我向你发誓这不是海市蜃楼. 事实上,我准备把我的钱
我的嘴在哪里,并发布一个代码示例与Rapid7自己的开源
Java API client. 这将允许您执行以下操作:
*交互式指定CSV文件创建更新,甚至删除现有的
users * Please s
2 min
Nexpose
通过Java API自动化公开发现连接
长期以来,expose一直提供允许自动化工作流操作的api. The
以下示例旨在帮助expose用户自动发现
机制特性通过API. 下面的代码展示了如何利用
Java API客户端[http://github ..链接:http://clee-r7/nexpose_java_api]
更新和删除expose中的发现机制.
从版本5开始,expose支持发现连接API.2. The
API上支持的关于发现的操作
4 min
Javascript
Java API客户端——如何增强它并与社区共享
前提条件是您获得客户端:clee-r7/nexpose_java_api·GitHub
[http://github.com/clee-r7/nexpose_java_api]
这篇博文将向您展示如何扩展java api客户机并在4中使用它
easy steps.
Java API客户机使用XML模板生成请求. Browse to the
在API源代码中的src/ org/rapid7/expose / API文件夹中,你会看到
当前支持的API客户端请求的模板. i.e:
AssetGroupSaveRequest.xml.
目前有2个版本