软件安全

应用软件安全编程--15禁止使用被污染的数据作为缓冲区

将被污染的数据直接作为参数传递给对缓冲区进行处理的库函数、API可能会造成缓冲区溢出。对于禁止使用被污染的数据作为缓冲区的情况,示例1给出了不规范用法(C/C++语言)示例。示例2给出了规范用法(C/C++语言)示例。示例1:#includevoid  f(char  *buffer,  char  *str){stprintf(buffer,"%s",str); 如上示例中,str没有被污染。但
奔跑的老人吴·2023-11-16 04:17

应用软件安全编程--18预防存储型 XSS

应用程序从数据库或其他后端数据存储获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了Web用户,应用程序将易于受到存储型XSS攻击。对于预防存储型XSS的情况,示例给出了不规范用法(Java语言)示例。示例:家庭地址:<%=address%〉上面JSP代码片段的功能是根据一个已知雇员ID(eid)从数据库中查询出该雇员的姓名,并显示在JSP页面上。如果name的值是由用户提供
奔跑的老人吴·2023-11-16 04:17

软件安全实验——pre11(XSS跨站脚本攻击预习)

目录标题1、用IE访问某些网站的时候,输入javascript:alert(document.cookie)会有什么反应,解释原因。2、阅读下面两篇文章或者阅读一本书3、了解FireFox的两个插件LiveHttpHeaders和Firebug的基本使用方法。4、阅读下面这篇文章:5、阅读下面这两篇文章:6、XSS漏洞的触发条件有哪些?应该如何防范?一、什么是XSS二、XSS攻击的主要途径三、XS
大灬白·2023-11-16 04:38

软件安全实验——lab11(XSS跨站脚本攻击)

声明:文章所提供的内容和工具仅供于个人学习和研究,严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。目录标题1、概述2、实验室环境3、实验室的任务3.1任务1:发布恶意消息以显示警报窗口3.2任务2:发送恶意信息显示cookie3.3任务3:从受害者的机器上偷取cookies3.4任务4
大灬白·2023-11-16 04:38

应用软件安全编程--17预防基于 DOM 的 XSS

DOM型XSS从效果上来说也属于反射型XSS,由于形成的原因比较特殊所以进行单独划分。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Documentobject文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容
奔跑的老人吴·2023-11-16 04:37

应用软件安全编程--16预防反射型 XSS

应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在恶意代码的情况下,便将其传送给了Web用户,应用程序将易于受到反射型XSS攻击。对于预防反射型XSS的情况,示例给出了不规范用法(Java语言)示例。示例:下面JSP代码片段的功能是从HTTP请求中读取雇员的ID(eid),并将其显示给用户。姓名:如果name里有包含恶意代码,那么Web浏览器就会像显示HTTP响应那样执行该代码,应用程
奔跑的老人吴·2023-11-15 21:36

应用安全测试技术DAST、SAST、IAST对比分析-持续更新

一、全球面临软件安全危机我们即将处于一个软件定义一切的时代,这是“一个最好的时代,也是一个最坏的时代”。
HuiTest·2023-11-13 18:16

Synopsys新思科技2023“向新力”秋季校园招聘内推

关于新思科技,是全球三大EDA软件供应商之一,在接口IP方面也有高市场占有率,近些年也开始进军软件安全领域。
惊鸿cloud·2023-11-10 23:22

应用软件安全编程--08污点数据作为循环边界

将污点数据作为循环边界可能导致程序无限循环,进而导致消耗过多的系统资源,造成拒绝服务攻击(denial-of-service(DoS)attack)。对于污点数据作为循环边界的情况,示例1给出了不规范用法(C/C++语言)示例。示例2给出了规范用法(C/C++语言)示例。示例1:void iterateFoobad(){unsignednum;int i;scanf("%u",&num);for(
奔跑的老人吴·2023-11-07 13:42

应用软件安全编程--07当比较 local相关的数据时,指定恰当的 local

当locale没有明确指定的时候,使用locale相关的方法处理与local相关的数据会产生意想不到的结果。编程语言标识符、协议关键字以及HTML标签通常会指定Locale.ENGLISH作为一个特定的locale。在不同的locale环境中运行程序可能会导致意外的程序行为,甚至允许攻击者绕过输入过滤器。由于这些原因,在比较数据时,如果可能与locale方法相关,则应指定相应的locale。例如下
奔跑的老人吴·2023-11-07 13:36

网络安全考虑因素

威胁1.应用系统和软件安全漏洞2.安全策略配置不合理3.后门和木马程序4.病毒和恶意网站陷阱5.黑客攻击6.安全意识淡薄7.用户网络内部工作人员的不良行为引起的安全问题脆弱性1.操作系统的脆弱性(1)动态链接
一青一柠·2023-11-07 12:24

fast软件_ChinaSoft 2020论坛巡礼 : 系统软件安全技术论坛

重要消息论坛组织:申文博、常瑞、周亚金时间:2020年11月21日(星期六)13:30-17:00地点:富力假日酒店宴会厅3。会议注册:http://chinasoft2020.cqu.edu.cn/hyzc.htm预定酒店:http://ccf.chinasoft2020.85do.com/论坛议程:时间主题13:30-14:20技术报告-陈海波报告题目:软硬件协同的系统安全增强技术研究报告摘要
weixin_39847728·2023-11-07 07:27

jar工具详解

识别您的签名的用户可以选择允许您的软件安全权限,否则它不会拥有。减少传输时间和存储空间:Jar文件本质上是一个ZIP压缩文件,打包之后文件总大小会变小,单个稍小的Jar文
hn_tzy·2023-11-07 04:20

什么?初级程序员才删库跑路,高级的都在代码投毒。。。

徐志摩托事情是这样的,最近在做开源软件供应链安全相关的项目,之前没了解这方面知识的时候感觉服务器被黑,数据库被删,网站被攻,这些东西都离我们太遥远了,因为感觉好像都轮不到我们,直到我开始做这个项目,才发现网络安全,软件安全问题真的是无处不在
网络安全乔妮娜·2023-11-07 03:39

谷歌公司的软件安全开发实践_任何软件开发公司应存在的服务,实践和工具,第1部分...

谷歌公司的软件安全开发实践我真的相信,宣扬在我们工作的公司/部门内工作的正确方法是我们工作的一部分,是某种职责。
danpu0978·2023-11-06 10:12

应用软件安全编程--04不要信任隐藏字段的内容

HTML允许web表单中的字段可见或隐藏。隐藏字段向web服务器提供值,但不能被用户修改其内容。但是,攻击者仍然可以通过特殊方式来修改隐藏字段。对于不信任隐藏字段的内容的情况,示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法(Java语言)示例。示例1:publicclassSampleServletextendsHttpServlet{publicvoiddoGet(HttpSe
奔跑的老人吴·2023-11-06 09:21

应用软件安全编程--05预防 XML 注入

如果用户有能力使用结构化XML文档作为输入,那么他能够通过在数据字段中插入XML标签来重写这个XML文档的内容。XML解析器会将这些标签按照正常标签进行解析。下面是一段在线商店的XML代码,主要用于查询后台数据库。Widget11.01会生成以下的XML文档:WidgetWidgetWidget
奔跑的老人吴·2023-11-06 09:21

应用软件安全编程--03净化传递给 Runtime.exec() 方法的非受信数据

每个Java应用都有一个Runtime类的实例,一般需要使用shell时调用它,从而可以在POSIX中使用/bin/sh或者在Windows平台中使用cmd.exe。当参数中包含以空格、双引号或者其他以一/开头的用来表示分支的字符时,就可能发生参数注入攻击。任何源于程序受信边界之外的字符串数据,在当前平台作为命令来执行之前,都应经过净化。对于净化传递给Runtime,exec()方法的非受信数据的
奔跑的老人吴·2023-11-06 09:51

应用软件安全编程--06预防 XML 外部实体攻击

XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的XML包含进来。攻击者可以通过操作实例的URI,使其指向特定的在当前文件系统中保存的文件,从而造成拒绝服务或程序崩溃,比如:指定/dev/random或者/dev/tty作为输入的URI,这可能造成永久阻塞程序或者程序崩溃。对于预防XML外部实体攻击的情况,示例1给出了不规范用
奔跑的老人吴·2023-11-06 09:15

BSIMM(构建安全成熟度模型 version 10 ) 模型介绍

BISMM模型,是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM软件安全框架(SSF)包含四个领域—治理、情报、SSDL触点和部署。反过来,这四
煜铭2011·2023-11-05 09:59

3-软件安全测试之系统安全测试

https://blog.csdn.net/victory_xing126/article/details/44420891一、操作系统安全操作系统不允许存在Nessus扫描出的高风险级别漏洞*注:Nessus使用方法简介对于各服务器的操作系统采用Nessus进行漏洞扫描:1、登录Nessus;2、创建扫描策略:点击“Policies”菜单,再点击“Add”按钮,在第一步中设置扫描策略的名称;在第
昵称占用着·2023-11-04 01:59

安全生产预警智慧信息化管理系统软件

安全生产预警智慧信息化管理系统软件安全生产预警智慧信息化管理系统是为顺应平安消费监管部门任务的需求,进步平安消费监督管理执法任务的效率,应用古代***计算机信息技术手段,结合我国平安消费监管职能部门对平安消费监管的要求而设计开发的一套安监根底软件系统华盛恒辉安全生产预警智慧信息化管理系统软件开发可以来这里
m0_71845010·2023-11-03 21:41

通付盾APP尽职调查报告深度解析

通付盾多年来致力于为企业提供软件全生命周期安全工程解决方案,帮助企业提升软件安全质量,从软件开发生命周期阶段入手,通过机器学习
数信云 DCloud·2023-11-02 13:53

找工作,我推荐这几个软件

2.前程无忧51job相对其他找工作的软件安全性能还高一些,有隐私保障,还有全面的求职攻略,教给你怎么能给人事一个好印象,同样具有批量投递的功能,公司信息详细可以查询。
ss毅·2023-11-01 06:06

<软件安全与逆向分析>> 四

mach_msg()函数既可以用来发送消息,也可以用来接收消息,mach_msg_return_tmach_msg(msg,option,send_size,rcv_size,rcv_name,timeout,notify)mach_msg_header_t*msg;要发送的消息mach_msg_option_toption;告诉系统是要接收还是发送mach_msg_size_tsend_size
洧中苇_4187·2023-10-31 06:43

一站式解决安全问题

端玛科技致力于攻克困难的应用软件安全问题,我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础,这三大支柱相互依存,创建了一个可重复的、安全的软件开发生态系统。
weixin_42400722·2023-10-31 01:33

创建软件安全需求

在软件开发生命周期的需求阶段,软件开发团队为其正在设计与实施的软件收集安全需求。这个阶段的重点是为高效软件创建一个安全的基础。作为创建安全基础的一部分,需求阶段必须考虑潜在的攻击和利用。在此阶段,我们将关注法律安全需求、客户安全需求,以及软件开发团队的适当安全培训在此阶段,应该创建一个风险概要文件,其中包括对应用程序的各种风险进行概述和分类的评估。在收集安全需求时,您需要知道应用程序是否必须遵守美
weixin_42400722·2023-10-31 01:03

网络安全零基础必备书籍

标题注解技术等级TheArtofSoftwareSecurityAssessment软件安全评估的艺术源码审计的圣经级读物中高级。
Python入门教学·2023-10-30 07:00

Codigger:提高软件安全性的静态分析工具

在现代软件开发生态系统中,安全性和质量是至关重要的因素。随着技术的不断发展,代码质量和安全性的需求也越来越高。为了确保代码的质量和安全性,开发团队需要采取一系列有效的措施。其中之一是通过静态分析工具来进行代码审查,以捕获潜在的问题和提高整体代码库的质量。Codigger是一种备受欢迎的静态分析工具,它可以帮助开发团队在软件开发的每个阶段实施安全代码开发实践。Codigger:静态分析工具的力量Co
我想静_静·2023-10-27 16:39

持安科技何艺获中国信通院2022-2023年零信任领域标准卓越贡献者

近日,在中国信息通信研究院和中国通信标准化协会联合主办的“2023SecGo云和软件安全大会”上,零信任办公安全明星企业持安科技创始人兼CEO何艺获评为2022-2023年度零信任领域标准卓越贡献者。
持安科技·2023-10-27 15:26

如何进行渗透测试以提高软件安全性?

对于各种规模的企业和组织来说,软件安全是一个至关重要的问题。随着网络攻击越来越复杂,软件中的漏洞越来越多,确保你的软件安全比以往任何时候都更重要。
测试萧十一郎·2023-10-27 05:16

信息安全保密管理制度

1.2、范围安全保障对象包括办公场所安全,设备安全,软件安全,系统库安全,计算机及通信安全;保密对象包括档案资料,业务数据资料,信息系统库资料。
奔跑的老人吴·2023-10-26 09:48

安全设备

一.防火墙5层应用层防火墙4层udptcp协议华为厂商华为h31.区域划分Dmz停火区Untrust不安全区域Trust安全区域防火墙默认禁止所有二.WafWeb应用防火墙放到web前面产品雷池绿盟软件安全狗优点减轻了服务器恶意流量的压力提前拦截恶意流量缺点容易被绕过一旦设备坏了无法使用
网络安全ggb·2023-10-25 13:47

如何判断一款软件的安全性?

软件安全不仅是保护数据不被未授权访问,也涉及到保护软件本身不被恶意修改或滥用。特别是在当前数字化高度发展的时代,软件安全成为了每个人都不能忽视的议题。
Dola_Zou·2023-10-25 12:17

软件安全测试之系统安全测试,软件安全测试报告模板.docx

软件安全测试报告模板员工考勤系统测试分析报告?编制?审核?
阿礅·2023-10-22 05:35

利用AFL进行模糊测试

它是一种挖掘软件安全漏洞、检测软件健壮性的黑盒测试,它通过向软件输入非法的字段,观测被测试软件是否异常而实现。
zhongzhehua·2023-10-20 13:49

2023-9-7 腾讯财经线2024校招java岗三面-财务线IT部门负责人面

一般周末会做作业,周中的话会请假上课,一般只需要请假半天到一天的时间2.2你现在达到毕业条件,还需要完成哪些任务啊答:我专利已经发了,达到了毕业论文的送审条件2.3介绍一下你的专利专利书上的介绍:本发明涉及软件安全技术领域
xxx_520s·2023-10-19 10:46

软件安全性测试包含哪些类型?2023年专业软件安全测试报告获取

在现今信息化时代,软件安全性问题愈加引起人们的重视。为了确保软件的安全性,软件安全性测试成为不可或缺的一环。
卓码测评·2023-10-19 06:53

代码审查工具:Fortify

它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予
汪敏wangmin·2023-10-18 13:19

2023-10-15

今天主要就是把软件安全实验做了,然后把操作系统的实验报告写了,然后信息隐藏的实验报告还剩一部分捏。
XiaozaYa·2023-10-17 05:19

硬件安全HSM介绍

随着汽车智能化和网联化的发展,汽车软件面临着更加严重的安全风险问题,为了应对一系列软件安全问题,就离不开硬件安全模块这个扮演着安全之锚的角色。
钢琴上的汽车软件·2023-10-16 12:17

供应链安全系列-攻击编译阶段(一)

背景让我们再次回顾下安全从业人员为了努力做好软件安全,在运营阶段做了什么事情。
安全乐观主义·2023-10-15 20:10

手把手教你随机合并全部视频添加同一个文案

所需工具一台电脑视频素材操作步骤打开电脑软件站,安装一个媒体梦工厂,此款软件安全无毒,可以放心使用进入媒体梦工厂,在“合并视频”板块中,先导入视频素材,多个视频,一行一个至于背景音频根据自己需要而定,小编测试时并没有添加
hby920967810·2023-10-15 01:33

Fuzz测试 发现软件中的隐患和漏洞的秘密武器

0x01什么是模糊测试模糊测试(FuzzTesting)是一种广泛用于软件安全和质量测试的自动化测试方法。
蚁景网络安全·2023-10-13 22:17

轻量级应用安全开发生命周期项目(S-SDLC)

帮助软件企业降低安全问些,提升软件安全质量;2.DescriptionS-SDLC定义了安全软件开发的流程,以及各个阶段需要进行的安全活动,包括活动指南,工具、模板等,主要包括:培训:提供安全培训体系,
CAPTIAN船长·2023-10-13 10:28

软件测试学习(三)易用性测试、测试文档、软件安全性测试、网站测试

目录易用性测试用户界面测试优秀Ul由什么构成符合标准和规范直观一致灵活舒适正确实用为有残疾障碍的人员测试:辅助选项测试测试文档软件文档的类型文档测试的重要性软件安全性测试了解黑客的动机威胁模式分析网站测试网页基础网站的黑盒测试文本超级链接图片表单网站的灰盒测试网站的白盒测试网站的配置和兼容性测试网站的易用性测试易用性测试易用性
丨康有为丨·2023-10-12 20:27

软件安全测试包含哪些内容?测试流程步骤有哪些?

泽众云测试通过专业的安全测试设备与经验丰富的实施人员从应用代码、服务器、数据库、通信交互等方面针对安全性风险进行全方位的检测;凭借专业的安全测试设备以及积累的安全测试用例为客户出具安全测试报告,并为客户提供科学的修复建议。安全测试解决的问题用户1、个人信息和资料是否存在泄露风险;2、软件安装是否存在木马及病毒;研发1、系统是否存在安全性的漏洞或者潜在的安全问题;2、缺少漏洞的修复建议及修复方式;3
泽众云测试·2023-10-12 15:28

企业如何申请CCRC认证?CCRC认证证书查询官网是什么?

简称“CCRC”其一共分为8个分项:安全集成服务、安全运维服务、风险评估服务、应急处理服务、软件安全开发服务、灾难备份与恢复服务、工业控制安全服务、
武汉好地科技~企证易·2023-10-09 20:56

CCRC信息安全服务资质的认证服务流程

简称“CCRC”其一共分为8个分项:安全集成服务、安全运维服务、风险评估服务、应急处理服务、软件安全开发服务、灾难备份与恢复服务、工业控制安全服务、网络安全审计服务资质认证。
jwyf_2021·2023-10-09 20:55

CCRC信息安全服务资质申请流程详解

CCRC信息安全服务资质通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全运维等类别的信息安全服务认证评价,均分为三个级别。
工信赛诚-周凯莉·2023-10-09 20:52
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他