软件安全第3页

[原创]Objective-C语言, 如何定义public和private的方法和变量?

、Objective-C、ObjectPascal、C#、Python开发工具:VisualStudio、Delphi、XCode、Eclipse技能种类:逆向驱动磁盘文件研发领域:Windows应用软件安全

我不是代码教父·2023-11-25 01:25

CISP注册信息系统安全认证~想了解点击查看

CISP注册信息系统安全认证本周开课~课程介绍本课程包括10个独立的知识域（安全工程与运营、计算环境安全、软件安全开发、网络安全监管、物理与网络通信安全、信息安全保障、信息安全管理、信息安全评估、信息安全支撑技术

GLAB-Mary·2023-11-24 18:38

应用软件安全编程--27避免使用 DNS 名称作为安全性的依据

程序中采用DNS名称进行安全认证，但DNS名称是容易被攻击者进行欺骗的。对避免使用DNS名称作为安全性的依据的情况，示例给出了不规范用法(Java语言)示例。示例：String ip = request.getRemoteAddr(); InetAddressinetAddress=InetAddress.getByName(ip);if(inetAddress.getCanonicalHostN

奔跑的老人吴·2023-11-24 06:03

应用软件安全编程--25考虑对函数指针进行加密

在某些情况下，攻击者可以通过修改内存甚至函数指针来执行任意代码。为了减少这类攻击的影响，函数指针应该在运行时进行加密，并在执行程序时才进行解密。对于考虑对函数指针进行加密的情况，示例1给出了不规范用法(C/C++语言)示例。示例2给出了规范用法(C/C++语言)示例。示例1:int(*log fn)(const char *,..)= printf; /*..*/log fn("foo

奔跑的老人吴·2023-11-24 06:32

应用软件安全编程--26不要硬编码敏感信息

硬编码如密码、服务器IP地址、加密密匙这样的敏感信息，会将信息暴露给攻击者。任何一个可以访问类文件的人都可以对其进行反编译，然后得到敏感信息。因此，程序不能对敏感信息进行硬编码。对敏感信息进行硬编码会使代码管理变得更复杂。例如，在一个已部署的程序中，改变其硬编码密码需要发布补丁。对敏感数据进行硬编码会向攻击者泄露信息。对于不要硬编码敏感信息的情况，示例1给出了不规范用法(Java语言)示例。示例2

奔跑的老人吴·2023-11-24 06:32

应用软件安全编程--28SSL 连接时要进行服务器身份验证

当进行SSL连接时，服务器身份验证处于禁用状态。在某些使用SSL连接的库中，默认情况下不验证服务器证书。这相当于信任所有证书。对SSL连接时要进行服务器身份验证的情况，示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法(Java语言)示例。示例1:SimpleEmailemail=newSimpleEmail();email.setHostName("smtp.testemail.c

奔跑的老人吴·2023-11-24 06:18

从Github登录的双因子验证到基于时间戳的一次性密码：2FA、OTP与TOTP

Github于2023-03-09推出一项提高软件安全标准的措施，所有在Github上贡献过代码的开发人员在年底前必须完成2FA（Two-factoryauthentication，双因子认证）。

江下枫·2023-11-23 19:52

SQL注入漏洞发现和利用，以及SQL注入的防护

一、背景SQL注入漏洞是一种常见的软件安全问题，它发生在应用程序的数据库层中。其核心原理是将用户输入的数据当做代码来执行，违反了“数据与代码分离”的原则。

Scalzdp·2023-11-23 00:02

软件测评中心进行安全测试有哪些流程?安全测试报告如何收费?

在当今数字化时代，软件安全测试是每个软件开发团队都不能忽视的重要环节。安全测试是指对软件产品进行系统、全面的安全性评测与检测的过程。

卓码测评·2023-11-22 04:45

应用软件安全编程--21密钥长度应该足够长

加密算法中使用的密钥长度较短，会降低系统安全。对于密钥长度应足够长的情况，示例给出了不规范用法(Java语言)示例。示例：KeyPairGeneratorkeyPairGen=KeyPairGenerator.getInstance("RSA");keyPairGen.initialize(1024);KeyPairkeyPair=keyPairGen.generateKeyPair();Publ

奔跑的老人吴·2023-11-21 10:08

应用软件安全编程--24不要使用硬编码密匙

当程序中使用硬编码加密密匙时，所有项目开发人员都可以查看该密匙，甚至如果攻击者能够获取程序class文件，可通过反编译得到密匙，硬编码加密密匙会大大降低系统安全性。对于避免使用硬编码密匙的情况，示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法(Java语言)示例。示例1:privatestaticStringencryptionKey="dfashsdsdfsdgagascv";b

奔跑的老人吴·2023-11-21 10:08

应用软件安全编程--21避免使用不安全的哈希算法

在安全性要求较高的系统中，不可使用被业界公认不安全的哈希算法(如MD2、MD4、MD5、SHA、SHA1等)来保证数据的完整性。对于避免使用不安全的哈希算法的情况，示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法(Java语言)示例。示例1:byte[] b = str.getBytes();MessageDigestmd=null;try{md = MessageDigest.g

奔跑的老人吴·2023-11-21 10:38

应用软件安全编程--23避免使用不安全的操作模式

块密码又称为分组加密，一次加密明文中的一个块。将明文按一定的位长分组，明文组经过加密运算得到密文组，密文组经过解密运算(加密运算的逆运算),还原成明文组。这种加密算法共有四种操作模式用于描述如何重复地应用密码的单块操作来安全的转换大于块的数据量，分别是电子代码(ECB)、密码块链(CBC)、密码反馈(CFB)以及输出反馈(OFB)。其中ECB模式下相同的明文块总是会得到相同的密文，故不能抵挡回放攻

奔跑的老人吴·2023-11-21 10:53

守卫网络安全新未来丨北大软件库博应邀出席第六届广东省安全博览会

北大软件携软件安全检测工具-库博参加此次展览。该工

qq_35063663·2023-11-21 03:52

太原理工大学——软件安全技术（陈波）考试复习

复习总结针对软件学院信息安全方向的软件安全技术课程，小编根据老师课上所讲及课后作业题，总结了以下相关问题供大家参考（答案的话书中或者网上也都能找到，就不再浪费时间给出了，祝大家考试顺利）：2022年考试题型

一枚勋章·2023-11-20 20:43

软件安全学习课程实践3：软件漏洞利用实验

1逆向分析1.1.1和1.1.2直接F5看flag就可以了，故略。1.1.3对输入用了算法变换，能看到flag，比如输入x,经过f处理成f(x)然后判断f(x)=y，现在要破解f的算法然后写个逆预算g(y)=x这个代码看起来很抽象，因为IDA没有正确的恢复这里的变量结构。选中变量按“N”重命名，按“Y”更改类型这里很明显是一个buf数组，IDA识别成两个变量，按Y修改为charbuf[20]数组f

真·skysys·2023-11-20 20:42

软件安全测试-Web安全测试详解-XSS攻击

目录1.XSS攻击1.1XSS攻击原理1.2XSS能做什么1.3XSS三种类型1.4XSS三种途径1.5XSS测试方法1.5.1查看代码1.5.2准备测试脚本1.5.3自动化测试XSS漏洞1.5.4XSS注入常用语句1.6XSS漏洞防范h31.6.1对输入和URL参数进行过滤(白名单和黑名单)1.6.2HTML实体编码1.63对输出内容进行编码1.6.4浏览器中的XSS过滤器1.XSS攻击1.1X

全栈开发与测试·2023-11-20 17:32

区块链关键技术4(笔记)

文章目录一、交易顺序：时间戳1、定义2、时间戳分类3、时间戳的管理和安全1、时间戳的管理保存备份检索删除查看和验证2、时间戳的安全物理环境安全软件安全3、时间戳的生成与原理4、时间戳的意义5、区块链中的时间戳二

混子王江江·2023-11-17 03:21

你实现双十一自由了吗？

（哔）当你学到后期你还可以接一些私活，就比如软件安全测试等，根本不用担心钱不够花。如果你对白帽黑客感兴趣

黑客学长-刘备·2023-11-16 09:57

憨憨也能写出PE病毒

导语这是我软件安全作业，希望对想要学习PE病毒编写的同学们有所帮助。

π1l4r_·2023-11-16 07:04

应用软件安全编程--15禁止使用被污染的数据作为缓冲区

将被污染的数据直接作为参数传递给对缓冲区进行处理的库函数、API可能会造成缓冲区溢出。对于禁止使用被污染的数据作为缓冲区的情况，示例1给出了不规范用法(C/C++语言)示例。示例2给出了规范用法(C/C++语言)示例。示例1:#includevoid f(char *buffer, char *str){stprintf(buffer,"%s",str); 如上示例中，str没有被污染。但

奔跑的老人吴·2023-11-16 04:17

应用软件安全编程--18预防存储型 XSS

应用程序从数据库或其他后端数据存储获取不可信赖的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了Web用户，应用程序将易于受到存储型XSS攻击。对于预防存储型XSS的情况，示例给出了不规范用法(Java语言)示例。示例：家庭地址：<%=address%〉上面JSP代码片段的功能是根据一个已知雇员ID(eid)从数据库中查询出该雇员的姓名，并显示在JSP页面上。如果name的值是由用户提供

奔跑的老人吴·2023-11-16 04:17

软件安全实验——pre11（XSS跨站脚本攻击预习）

目录标题1、用IE访问某些网站的时候，输入javascript:alert(document.cookie)会有什么反应，解释原因。2、阅读下面两篇文章或者阅读一本书3、了解FireFox的两个插件LiveHttpHeaders和Firebug的基本使用方法。4、阅读下面这篇文章：5、阅读下面这两篇文章：6、XSS漏洞的触发条件有哪些？应该如何防范？一、什么是XSS二、XSS攻击的主要途径三、XS

大灬白·2023-11-16 04:38

软件安全实验——lab11（XSS跨站脚本攻击）

声明：文章所提供的内容和工具仅供于个人学习和研究，严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。目录标题1、概述2、实验室环境3、实验室的任务3.1任务1:发布恶意消息以显示警报窗口3.2任务2:发送恶意信息显示cookie3.3任务3:从受害者的机器上偷取cookies3.4任务4

大灬白·2023-11-16 04:38

应用软件安全编程--17预防基于 DOM 的 XSS

DOM型XSS从效果上来说也属于反射型XSS,由于形成的原因比较特殊所以进行单独划分。在网站页面中有许多页面的元素，当页面到达浏览器时浏览器会为页面创建一个顶级的Documentobject文档对象，接着生成各个子文档对象，每个页面元素对应一个文档对象，每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说，客户端的脚本程序可以通过DOM来动态修改页面内容

奔跑的老人吴·2023-11-16 04:37

应用软件安全编程--16预防反射型 XSS

应用程序通过Web请求获取不可信赖的数据，在未检验数据是否存在恶意代码的情况下，便将其传送给了Web用户，应用程序将易于受到反射型XSS攻击。对于预防反射型XSS的情况，示例给出了不规范用法(Java语言)示例。示例：下面JSP代码片段的功能是从HTTP请求中读取雇员的ID(eid),并将其显示给用户。姓名：如果name里有包含恶意代码，那么Web浏览器就会像显示HTTP响应那样执行该代码，应用程

奔跑的老人吴·2023-11-15 21:36

应用安全测试技术DAST、SAST、IAST对比分析-持续更新

一、全球面临软件安全危机我们即将处于一个软件定义一切的时代，这是“一个最好的时代，也是一个最坏的时代”。

HuiTest·2023-11-13 18:16

Synopsys新思科技2023“向新力”秋季校园招聘内推

关于新思科技，是全球三大EDA软件供应商之一，在接口IP方面也有高市场占有率，近些年也开始进军软件安全领域。

惊鸿cloud·2023-11-10 23:22

应用软件安全编程--08污点数据作为循环边界

将污点数据作为循环边界可能导致程序无限循环，进而导致消耗过多的系统资源，造成拒绝服务攻击(denial-of-service(DoS)attack)。对于污点数据作为循环边界的情况，示例1给出了不规范用法(C/C++语言)示例。示例2给出了规范用法(C/C++语言)示例。示例1:void iterateFoobad(){unsignednum;int i;scanf("%u",&num);for(

奔跑的老人吴·2023-11-07 13:42

应用软件安全编程--07当比较 local相关的数据时，指定恰当的 local

当locale没有明确指定的时候，使用locale相关的方法处理与local相关的数据会产生意想不到的结果。编程语言标识符、协议关键字以及HTML标签通常会指定Locale.ENGLISH作为一个特定的locale。在不同的locale环境中运行程序可能会导致意外的程序行为，甚至允许攻击者绕过输入过滤器。由于这些原因，在比较数据时，如果可能与locale方法相关，则应指定相应的locale。例如下

奔跑的老人吴·2023-11-07 13:36

网络安全考虑因素

威胁1.应用系统和软件安全漏洞2.安全策略配置不合理3.后门和木马程序4.病毒和恶意网站陷阱5.黑客攻击6.安全意识淡薄7.用户网络内部工作人员的不良行为引起的安全问题脆弱性1.操作系统的脆弱性（1）动态链接

一青一柠·2023-11-07 12:24

fast软件_ChinaSoft 2020论坛巡礼 : 系统软件安全技术论坛

重要消息论坛组织：申文博、常瑞、周亚金时间：2020年11月21日(星期六)13:30-17:00地点：富力假日酒店宴会厅3。会议注册：http://chinasoft2020.cqu.edu.cn/hyzc.htm预定酒店：http://ccf.chinasoft2020.85do.com/论坛议程：时间主题13:30-14:20技术报告-陈海波报告题目：软硬件协同的系统安全增强技术研究报告摘要

weixin_39847728·2023-11-07 07:27

jar工具详解

识别您的签名的用户可以选择允许您的软件安全权限，否则它不会拥有。减少传输时间和存储空间：Jar文件本质上是一个ZIP压缩文件，打包之后文件总大小会变小，单个稍小的Jar文

hn_tzy·2023-11-07 04:20

什么？初级程序员才删库跑路，高级的都在代码投毒。。。

徐志摩托事情是这样的，最近在做开源软件供应链安全相关的项目，之前没了解这方面知识的时候感觉服务器被黑，数据库被删，网站被攻，这些东西都离我们太遥远了，因为感觉好像都轮不到我们，直到我开始做这个项目，才发现网络安全，软件安全问题真的是无处不在

网络安全乔妮娜·2023-11-07 03:39

谷歌公司的软件安全开发实践_任何软件开发公司应存在的服务，实践和工具，第1部分...

谷歌公司的软件安全开发实践我真的相信，宣扬在我们工作的公司/部门内工作的正确方法是我们工作的一部分，是某种职责。

danpu0978·2023-11-06 10:12

应用软件安全编程--04不要信任隐藏字段的内容

HTML允许web表单中的字段可见或隐藏。隐藏字段向web服务器提供值，但不能被用户修改其内容。但是，攻击者仍然可以通过特殊方式来修改隐藏字段。对于不信任隐藏字段的内容的情况，示例1给出了不规范用法(Java语言)示例。示例2给出了规范用法(Java语言)示例。示例1:publicclassSampleServletextendsHttpServlet{publicvoiddoGet(HttpSe

奔跑的老人吴·2023-11-06 09:21

应用软件安全编程--05预防 XML 注入

如果用户有能力使用结构化XML文档作为输入，那么他能够通过在数据字段中插入XML标签来重写这个XML文档的内容。XML解析器会将这些标签按照正常标签进行解析。下面是一段在线商店的XML代码，主要用于查询后台数据库。Widget11.01会生成以下的XML文档：WidgetWidgetWidget

奔跑的老人吴·2023-11-06 09:21

应用软件安全编程--03净化传递给 Runtime.exec() 方法的非受信数据

每个Java应用都有一个Runtime类的实例，一般需要使用shell时调用它，从而可以在POSIX中使用/bin/sh或者在Windows平台中使用cmd.exe。当参数中包含以空格、双引号或者其他以一/开头的用来表示分支的字符时，就可能发生参数注入攻击。任何源于程序受信边界之外的字符串数据，在当前平台作为命令来执行之前，都应经过净化。对于净化传递给Runtime,exec()方法的非受信数据的

奔跑的老人吴·2023-11-06 09:51

应用软件安全编程--06预防 XML 外部实体攻击

XML文档可以从一个很小的逻辑块(实体)开始动态构建。实体可以是内部的、外部的或者基于参数的。外部实体运行是将外部文件中的XML包含进来。攻击者可以通过操作实例的URI,使其指向特定的在当前文件系统中保存的文件，从而造成拒绝服务或程序崩溃，比如：指定/dev/random或者/dev/tty作为输入的URI,这可能造成永久阻塞程序或者程序崩溃。对于预防XML外部实体攻击的情况，示例1给出了不规范用

奔跑的老人吴·2023-11-06 09:15

BSIMM(构建安全成熟度模型 version 10 ) 模型介绍

BISMM模型，是一把衡量企业在软件开发阶段构建软件安全能力的标尺。BSIMM软件安全框架（SSF）包含四个领域—治理、情报、SSDL触点和部署。反过来，这四

煜铭2011·2023-11-05 09:59

3-软件安全测试之系统安全测试

https://blog.csdn.net/victory_xing126/article/details/44420891一、操作系统安全操作系统不允许存在Nessus扫描出的高风险级别漏洞*注：Nessus使用方法简介对于各服务器的操作系统采用Nessus进行漏洞扫描：1、登录Nessus；2、创建扫描策略：点击“Policies”菜单，再点击“Add”按钮，在第一步中设置扫描策略的名称；在第

昵称占用着·2023-11-04 01:59

安全生产预警智慧信息化管理系统软件

安全生产预警智慧信息化管理系统软件安全生产预警智慧信息化管理系统是为顺应平安消费监管部门任务的需求，进步平安消费监督管理执法任务的效率，应用古代***计算机信息技术手段，结合我国平安消费监管职能部门对平安消费监管的要求而设计开发的一套安监根底软件系统华盛恒辉安全生产预警智慧信息化管理系统软件开发可以来这里

m0_71845010·2023-11-03 21:41

通付盾APP尽职调查报告深度解析

通付盾多年来致力于为企业提供软件全生命周期安全工程解决方案，帮助企业提升软件安全质量，从软件开发生命周期阶段入手，通过机器学习

数信云 DCloud·2023-11-02 13:53

ss毅·2023-11-01 06:06

<软件安全与逆向分析>> 四

mach_msg()函数既可以用来发送消息,也可以用来接收消息,mach_msg_return_tmach_msg(msg,option,send_size,rcv_size,rcv_name,timeout,notify)mach_msg_header_t*msg;要发送的消息mach_msg_option_toption;告诉系统是要接收还是发送mach_msg_size_tsend_size

洧中苇_4187·2023-10-31 06:43

一站式解决安全问题

端玛科技致力于攻克困难的应用软件安全问题，我们的解决方案以安全标准、安全教育和安全风险评估三大支柱为安全SDLC的基础，这三大支柱相互依存，创建了一个可重复的、安全的软件开发生态系统。

weixin_42400722·2023-10-31 01:33

创建软件安全需求

在软件开发生命周期的需求阶段，软件开发团队为其正在设计与实施的软件收集安全需求。这个阶段的重点是为高效软件创建一个安全的基础。作为创建安全基础的一部分，需求阶段必须考虑潜在的攻击和利用。在此阶段，我们将关注法律安全需求、客户安全需求，以及软件开发团队的适当安全培训在此阶段，应该创建一个风险概要文件，其中包括对应用程序的各种风险进行概述和分类的评估。在收集安全需求时，您需要知道应用程序是否必须遵守美

weixin_42400722·2023-10-31 01:03

网络安全零基础必备书籍

标题注解技术等级TheArtofSoftwareSecurityAssessment软件安全评估的艺术源码审计的圣经级读物中高级。

Python入门教学·2023-10-30 07:00

Codigger：提高软件安全性的静态分析工具

在现代软件开发生态系统中，安全性和质量是至关重要的因素。随着技术的不断发展，代码质量和安全性的需求也越来越高。为了确保代码的质量和安全性，开发团队需要采取一系列有效的措施。其中之一是通过静态分析工具来进行代码审查，以捕获潜在的问题和提高整体代码库的质量。Codigger是一种备受欢迎的静态分析工具，它可以帮助开发团队在软件开发的每个阶段实施安全代码开发实践。Codigger：静态分析工具的力量Co

我想静_静·2023-10-27 16:39

持安科技何艺获中国信通院2022-2023年零信任领域标准卓越贡献者

近日，在中国信息通信研究院和中国通信标准化协会联合主办的“2023SecGo云和软件安全大会”上，零信任办公安全明星企业持安科技创始人兼CEO何艺获评为2022-2023年度零信任领域标准卓越贡献者。

持安科技·2023-10-27 15:26

推荐频道

软件安全