Web服务端漏洞类型
业务逻辑漏洞 业务逻辑漏洞是指由于业务在设计时考虑不全所产生的流程或逻辑上的漏洞。例如:用户找回密码缺陷,攻击者可重置任意用户密码。短信炸弹漏洞,攻击者可无限制利用接口发送短信,恶意消耗企业短信资费,骚扰用户等。由于业务...
什么是先知(安全众测)
企业通过入驻先知(安全众测)平台,可以借助先知平台众多优质、可信的白帽子及时发现现有业务的安全问题,包括业务逻辑漏洞、权限问题等安全工具无法有效检测的漏洞等,尽早发现存在的漏洞可以有效地减少企业可能的损失。并且,随着业务的...
漏洞等级说明
严重的逻辑设计缺陷和流程缺陷,包括但不限于批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。敏感信息越权访问,包括但不限于绕过认证直接访问管理后台、重要后台弱密码、获取大量内网敏感信息的服务器端请求伪造(SSRF)漏洞等...
附件四:常见漏洞危害及定义(先知计划)
由于业务逻辑漏洞跟业务问题贴合紧密,常规的安全设备无法有效检测出,多数需要人工根据业务场景及特点进行分析检测。常见发生位置 所有涉及到用户交互的位置。防御措施 针对业务场景进行全面的检测。安全配置缺陷 安全配置缺陷包括:文件...
附件二:众测漏洞定级标准(先知安全情报)
包括但不限于任意用户登录漏洞、批量修改任意账号密码漏洞、涉及企业核心业务的逻辑漏洞等。验证码爆破除外。大范围影响用户的其他漏洞。包括但不仅限于重要页面可自动传播的存储型XSS、可获取管理员认证信息且成功利用的存储型XSS等。大量...
应用安全
阿里云提供了先知(安全众测)服务,通过加入先知平台,企业可以自主设置高、中、低危漏洞的奖励金额和奖励范围,通过平台众多可靠的白帽子来及时发现应用系统中存在的安全问题,包括业务应用逻辑漏洞、权限问题等安全工具无法有效检测的...
供应链漏洞验收及奖励标准
收集的漏洞类型 我们关注的漏洞类型,包括:XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传、逻辑漏洞、栈溢出、堆溢出、内存破坏、整数溢出、释放后重用、类型混淆、沙盒绕过、本地提权、拒绝...
应用防护
您无需修改代码,只需在主机或容器环境的应用中安装RASP探针,即可为应用提供强大的安全防护能力,并抵御绝大部分未知漏洞所使用的攻击手法。本文介绍如何使用应用防护功能。功能原理 应用防护使用RASP技术,在应用程序内部通过钩子(Hook...
扫描漏洞
Joomla SQL注入漏洞 PHPCMS PHPCMS注入漏洞 PHPCMS AuthKey泄露漏洞 PHPCMS V9宽字节注入 PHPCMS前台注入导致任意文件读取漏洞 PHPCMS某处逻辑问题导致获取权限漏洞(GetShell)PHPCMS AuthKey生成算法问题导致AuthKey泄露 PHPCMS V9.6.2 ...
GetChain-获取交付链定义
Logic string 扫描触发阻断的逻辑 AND IssueLevel string 扫描漏洞等级达到多少时触发阻断 HIGH IssueCount string 扫描漏洞数达到多少时触发阻断 10 Action string 阻断动作,取值:BLOCK:阻断交付链继续执行 BLOCK_RETAG:阻断覆盖推送...
通用软件漏洞收集及奖励计划第四期
漏洞定义 攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。阿里云先知漏洞平台主要收集应用软件和建站系统程序漏洞。收集的漏洞类型定义 我们关注的漏洞类型分为几个评价维度,包括:权限要求:pre-auth:认证前...
所有ECS实例漏洞都已修复
检测逻辑 云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。云安全中心发现的ECS实例的任意一个漏洞未修复,视为“不合规”。关于如何修正该问题,请参见 修正指导。规则详情 参数 说明 规则名称 所有ECS实例漏洞都已修复 规则...
在云安全中心设置指定等级的漏洞扫描
检测逻辑 在云安全中心设置指定风险等级的漏洞扫描,视为“合规”。未在云安全中心设置指定风险等级的漏洞扫描,视为“不合规”。关于如何修正该问题,请参见 修正指导。规则详情 参数 说明 规则名称 在云安全中心设置指定等级的漏洞扫描 ...
常见问题
逻辑编排解决什么问题?逻辑编排能帮助您简化系统集成的过程。系统预置了阿里云多个产品服务的连接器(连接器固化了阿里云产品服务的调用流程);并提供了多个场景化模板;图形化方式编排流程,让您快速上手。2.逻辑编排图形化编排能否满足...
入门概述
完成个人或企业 实名认证...使用阿里云账号登录 逻辑编排控制台,在界面上方,您可以根据业务所在地切换地域,目前逻辑编排支持的地域可以参考:可用地域。接下来,您可以通过 新建工作流 的教程,来学习如何使用逻辑编排自动化您的日常工作。
什么是逻辑编排
逻辑编排(Logic Composer)为企业提供一站式集成平台,简化了在集成系统、应用和服务时,所需处理的跨企业、跨环境间的业务流程。逻辑编排提供简便易用的设计方式、丰富的服务连接器和托管运行服务,助您高效地完成各类场景下的集成工作。...
相关协议
阿里云逻辑编排产品公测条款 欢迎您申请试用阿里云逻辑编排产品。逻辑编排产品试用条款,请参考 服务试用条款。
安全众测常见问题
通用漏洞提交样例 白帽子提交的漏洞需要包含以下内容:漏洞详情说明,描述漏洞的具体位置和漏洞证明。漏洞的修复建议,例如越权漏洞。说明 请您认真思考并编写修复方案,先知平台运营人员将对修复方案进行评估,并酌情给予奖励。奖励标准请...
逻辑编排支持被审计的事件说明
逻辑编排支持被操作审计服务审计的事件列表。逻辑编排已与操作审计服务集成,您可以在操作审计中查询用户操作逻辑编排产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的LogStore或对象存储OSS的存储空间中,满足实时审计、问题...
使用限制
本文为您介绍逻辑编排的使用限制。规则 限制数量 注释 同一区域下的编排实例上限 500 个-单个工作流的操作数上限 200 个 如需添加更多操作节点,推荐使用编排实例连接器进行嵌套扩展(公测版暂不支持)操作嵌套层级上限 5 个 如需添加更多...
授权RAM用户编排工作流
本文介绍了如何使用访问控制RAM(Resource Access Management)对RAM用户授权实现对逻辑编排访问资源的授权。背景信息 通过逻辑编排进行工作流编排的过程中,可能需要使用各种云产品的OpenAPI。对于阿里云账号,可以通过授权RAM角色给逻辑...
使用RAM授权
操作步骤 登录 阿里云 RAM 控制台。...给RAM用户授予逻辑编排的系统权限策略。具体操作,请参见 为RAM用户授权。逻辑编排的读写权限,请选择 AliyunComposerFullAccess 逻辑编排的只读权限,请选择 AliyunComposerReadOnlyAccess
计费方式
公测期间,您可以免费使用逻辑编排产品。该产品的收费标准将于正式版发布后推出,敬请关注。
使用OpenAPI
本文为您介绍使用逻辑编排OpenAPI的基本信息及注意事项。说明 关于如何使用阿里云OpenAPI,请参见学习文档:使用OpenAPI。基本信息 版本说明 版本号 说明 2018-12-12 推荐 接入点说明 地域 服务地址 华东2(上海)composer....
可用地域
目前逻辑编排开放了如下地域,请根据您业务所在地选择合适的地域创建您的业务工作流。地域 Region ID Endpoint 华东2(上海)cn-shanghai composer.cn-shanghai.aliyuncs.com 美国(弗吉尼亚)us-east-1 composer.us-east-1.aliyuncs.com ...
产品架构
逻辑编排是一个 iPaaS(Integration Platform as a Service,集成平台即服务)平台型产品。它可以将底层系统所提供的 BaaS、FaaS 以及 SaaS 服务与上层业务应用连接,实现可视化编排、计划调度和服务托管,为上层业务提供 API 集成、消息...
定时导出阿里云账单数据
方案架构 在该示例当中,借助逻辑编排实现账单API的调用和数据获取,并通过逻辑编排提供的MySQL连接器将数据写入到RDS中,后续可以基于RDS数据库中的数据进行分析和展现。最后,通过逻辑编排的定时任务触发器实现每天持续的自动化导入,...
新建工作流
本示例介绍了使用逻辑编排创建一个完整的工作流过程中的操作和通用的基本概念,比如添加触发器、添加操作、运行工作流等。在本示例中,我们通过一个实际案例,向您展示如何通过逻辑编排工作流自动化您的日常工作。在本示例中,构建一个...
应用场景
本文为您介绍逻辑编排的应用场景。通过组合不同云产品的 API 操作,简化日常的运维工作。通过计划调度的触发模式,获得被监控资源状态的实时消息。跨云架构企业应用开发 结合 CSB 和企业应用连接器,使不同区域云服务及本地应用网关之间的...
2022年
本文介绍了逻辑编排2022年的功能变更记录。2022年11月 功能名称 变更类型 功能描述 发布时间 相关文档 资源组 新增 工作流支持按资源组进行分类。该功能上线前的工作流都会归属到默认资源组中,可以在资源管理控制台中转移到自定义资源组。...
云安全中心无待修复的镜像漏洞
检测逻辑 云安全中心开启镜像扫描且无待修复的镜像漏洞,视为“合规”。云安全中心未开启镜像扫描,视为“不合规”;云安全中心开启镜像扫描,发现有待修复的镜像漏洞,视为“不合规”。关于如何修正该问题,请参见 修正指导。未开启或未...
基本概念
本文为您介绍逻辑编排的基本概念。编排实例是一个可运行的独立部署的应用程序,承载工作流以及工作流节点所依赖的相关服务连接。工作流 工作流是以步骤的方式完成对业务流程的编排定义,也是编排实例的运行核心。工作流由一系列触发器和...
为RAM身份授予服务角色访问权限
逻辑编排使用服务角色的方式为用户执行相关操作。对于RAM身份(RAM用户和RAM角色)需要给逻辑编排进行服务角色授权的情况,请按本文档为对应RAM身份进行授权。背景信息 在工作流执行过程中,逻辑编排会通过扮演用户授予的服务角色,通过API...
授权信息
本文为您介绍 逻辑编排(LC)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。逻辑编排(LC)的RAM代码(RamCode)为 composer,支持的授权粒度为 RESOURCE。权限策略通用结构 权限策略支持JSON格式,其通用结构...
查看和处理漏洞
已支持漏洞 单击 已支持漏洞 下方的数字展开 支持检测的漏洞列表 面板,可查看云安全中心已支持检测的漏洞列表及查看漏洞的详细信息,包括漏洞的 漏洞编号、漏洞名称、检测方式、发布时间 和 漏洞类型。您也可以使用列表上方的搜索功能通过...
API概览
本产品(逻辑编排/2018-12-12)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
创建自定义HTTP服务
本文为您介绍如何使用逻辑编排提供的模板,创建自定义HTTP服务。场景说明 通过逻辑编排自定义请求触发器,创建一个当前访问者IP查询的HTTP接口。访问者访问了该HTTP接口后,会显示对应访问者的访问来源IP。操作步骤 创建工作流,并选择 ...
漏洞修复最佳实践
漏洞修复优先级 漏洞修复的优先级由以下因素决定:技术影响 利用成熟度(PoC、EXP、蠕虫或病毒工具化)风险威胁(服务器权限失陷与否)受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)云安全中心提供的漏洞修复紧急度得分计算...
漏洞管理介绍
限制说明 漏洞扫描和修复支持的操作系统 操作系统类型 版本 Windows Server Windows Server 2008(EOL之前的漏洞)、Windows Server 2012(EOL之前的漏洞)、Windows Server 2016、Windows Server 2019、Windows Server 2022 CentOS CentOS...
基本介绍
一个工作流编排实例的逻辑定义至少包含一个触发器(Trigger)和需要执行的任务(Action)。目前定义只支持 JSON 语法。最外层的结构定义如下:{"schemaVersion":"${flow-schema-version}","triggers":{"${flow-trigger-definitions}"},...
- 产品推荐
- 这些文档可能帮助您