我的任務是在我們的 VPS 上設定 MailHog 腳本,但他們也詢問了我有關此腳本的安全性的問題,但我沒有安全方面的經驗。
這是腳本 github 帳戶:https : //github.com/mailhog/MailHog
我也在 github.com 上檢查了他們的安全頁面,但沒有安全問題:https : //github.com/mailhog/MailHog/security/advisories
uj5u.com熱心網友回復:
在我對腳本進行滲透測驗后,我發現了兩個漏洞
- SMTP 注入
- 記憶體泄漏導致拒絕服務。
這些漏洞是由于默認設定造成的。
uj5u.com熱心網友回復:
要回答這個問題,您可以做兩件事:
- 看看MailHog的歷史。它是否已經存在任何已知漏洞?他們的嚴重程度如何?修復漏洞需要多長時間?你可以從CVE 串列開始(不,這里什么都沒有),但你也應該谷歌一下。研究 github 上的安全問題是個好主意。
- 自己做一個安全評估。大多數東西似乎都是用golang撰寫的。也許搜索用于靜態代碼分析(SAST)的工具并運行它。閱讀代碼。理解。驗證一下。進行安全評估是一項昂貴的作業,需要深厚的技術知識。通常這不是為了好玩。
通常檢查點 1 并收集一些專案元資料(代碼庫的年齡,是否維護,是否已解決錯誤,是否有人使用該軟體,...)應該足以進行初始安全評估. 如果有人需要比這更確定,他們需要為第 2 點付費。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/331876.html
標籤:安全
上一篇:Azure最佳實踐