软件安全

模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

(Jolt大奖精选丛书)【美】Sutton,M.Greene,A.Amini,P.著段念赵勇译ISBN978-7-121-21083-92013年10月出版定价:89.00元564页16开内容提要随着软件安全性问题变得越来越关键
博文视点·2022-10-13 14:49

(0704-0710)本周开源软件安全大事记

本周安全态势综述OSCS社区共收录安全漏洞15个,值得关注的是ApacheCommonsConfiguration任意代码执行漏洞(CVE-2022-33980),DjangoTrunc和Extract方法存在SQL注入漏洞(CVE-2022-34265)和OpenSSLRSA远程代码执行漏洞(CVE-2022-2274)。针对NPM和PyPI仓库,共监测到18次投毒事件,涉及94个不同版本的NP
开源生态安全OSCS·2022-10-12 21:40

软件安全性测试要点有哪些?常用软件安全测试工具分享

科技的发展为我们的生活和工作带来了极大的便利,软件产品在满足用户基本功能使用的同时,安全问题成为了越来越多人关注的方向,因此软件安全测试至关重要。那么你对软件安全测试知多少?软件安全测试有哪些要点?
xymbf·2022-09-29 08:23

物联网信息安全——笔记

物联网信息安全笔记第一章物联网信息安全课本内容物联网五层体系结构感知控制层网络互连层资源管理层信息处理层应用层信息安全定义保持信息的保密性、完整性、可用性其他,真实性、核查性、抗抵赖和可靠性信息安全的主要内容硬件安全软件安全运行服务安全数据安全课后习题
windSnowLi·2022-09-24 17:48

从近期欧美法规看软件供应链安全趋势

美国和欧盟在各自的法案都提到了软件安全检测,软件物料清单(SBOM)等内容,这意味着通过强制性的网络安全法规要求,企业必须通过披露SBOM、源代码安全检测等手段提升数字化产品安全性,才能继续正常地销售提供数字化产品
·2022-09-23 12:43

网安知识图谱和框架推荐

Web安全二进制安全密码学渗透测试代码审计软件的安全生命周期相关学习资源中阶网络安全二进制安全(中级)逆向技术(中级)大数据安全分析安全体系云安全相关学习资源高阶威胁情报漏洞挖掘与利用二进制安全(高级)软件安全安全架构
莫兮是我·2022-09-22 13:15

渗透测试----书单

自用《0day安全软件漏洞分析技术》《Android软件安全与逆向分析》《Android安全攻防权威指南》《http://ASP.NET从入门到精通》《CPrimerPlus》《C++黑客编程揭秘与防范
小羊咩恩·2022-09-22 13:15

CWE发布的2021年25条最危险软件错误

2021年25条最危险的软件错误(源自CWE官网)世界权威软件安全漏洞模式库CWE——让安全“可测量”一、CWE是什么研究源代码缺陷的人都听说过CWE,是在源代码缺陷定义方面受到广泛认可的研究组织。
欧拉定理公式·2022-09-15 12:20

人工智能安全

模型训练完整性威胁3.2.2模型训练完整性威胁3.2AI数据与隐私安全性问题3.2.1基于模型输出的数据泄露3.2.2基于梯度更新的数据泄露3.3AI系统安全性问题3.3.1硬件设备安全问题3.3.2系统与软件安全问题
Lingxw_w·2022-09-07 10:35

2021-06-28

目录电子公文安全性设计实验报告电子传输系统安全任务完成情况(代码链接,所写文档等)计划实验二验收-1实验二验收2实验二验收3密码功能要求1.系统密码功能要求《The.Security.Development.Lifecycle.CN.软件安全开发生命周期
我就呵呵了·2022-09-07 09:12

计算机的第一道安全防线是,网络安全的第一道防线是

网络安全(NetworkSecurity)包含网络设备安全、网络信息安全、网络软件安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原
三夏阳阳·2022-08-29 09:48

(0718-0724)本周开源软件安全大事记

本周安全态势综述OSCS社区共收录安全漏洞26个,值得关注的是ApacheSparkUIshell命令注入漏洞(CVE-2022-33891),ApacheXalan存在整数截断漏洞(CVE-2022-34169和RedisXAUTOCLAIM命令存在堆溢出漏洞(CVE-2022-31144)。针对NPM仓库,共监测到6次投毒事件,涉及119个不同版本的NPM组件,投毒组件中绝大多数行为是尝试获取
开源生态安全OSCS·2022-08-16 19:34

OSCS开源软件安全周报,一分钟了解本周开源软件安全大事

本周安全态势综述OSCS社区共收录安全漏洞41个,值得关注的是Hadoop存在shell命令注入漏洞(CVE-2022-35918),MinIO存在路径遍历漏洞(CVE-2022-35919)和rsync<3.2.5存在路径校验不严漏洞(CVE-2022-29154)。针对NPM、Python仓库,共监测到5次投毒事件,涉及131个不同版本的NPM、Python组件,投毒组件中绝大多数行为是尝试获
·2022-08-08 15:47

五大理由告诉你为什么开发人员选择代码质量静态分析工具Klocwork来实现软件安全

Klocwork是一款静态代码分析和SAST工具,适用于C、C++、C#、Java、JavaScript、Python和Kotlin,可识别软件安全性、质量和可靠性问题,帮助强制遵守标准。
·2022-08-05 18:29

OSCS开源软件安全周报,一分钟了解本周开源软件安全大事

本周安全态势综述OSCS社区共收录安全漏洞46个,值得关注的是LibreOffice任意代码执行漏洞(CVE-2022-26305),AtlassianJiraServiceManagementSSRF漏洞(CVE-2021-43959),AdobeAcrobatReader越界读取漏洞(CVE-2022-35672)和ApacheCalciteAvatica项目存在远程代码执行漏洞(CVE-20
·2022-08-01 14:15

fortify+DVWA靶场和动态IAST审计JAVA靶场

AST(应用程序安全测试)产品,它包括:FortifyStaticCodeAnalyzer可以成为静态代码分析器,Fortify是响应式动态安全测试软件,SoftwareSecurityCenter是软件安全分析中心和
抗争的小青年·2022-07-28 08:40

[论文分享] 开源 C/C++静态软件缺陷检测工具实证研究

C++静态软件缺陷检测工具实证研究[1][软件学报2022]属于静态软件分析与漏洞挖掘工具及技术的综述性文章,今天总结一下(其他的水话就不多说了,就像TK教主经常说的:先干了再说摘要软件静态缺陷检测是软件安全领域中的一个研究热点
fa1c4·2022-07-27 21:51

Plus版SBOM:流水线物料清单PBOM

软件安全不仅取决于源代码,还取决于整个软件
·2022-07-27 11:01

想低成本保障软件安全?5大安全任务值得考虑

应用程序的快速交付并非安全的敌人,尽管现在看起来似乎如此。随着企业持续采用云服务和基础设施,安全却逐渐被抛之脑后,这是不可取的——尤其是现在持续集成/持续交付流水线已成为攻击者的主要目标。在应用程序上线后仅仅扫描其安全漏洞是远远不够的。安全的左移方法应该在DevOps团队开始开发应用和配置基础设施的时候就启动,这样就可以在漏洞影响范围更广和修复成本更昂贵之前解决它们。这就是DevSecOps的核心
·2022-07-22 19:12

有了这4个安全测试工具,对软件安全测试say so easy!

安全从古至今都是一个严肃的话题,对于软件来说,软件安全性也是至关重要。
xymbf·2022-07-22 11:09

2022 开源软件安全状况报告:超 41% 的企业对开源安全没有足够的信心

根据上周刚刚发布的两项研究显示,开源软件早已成为大多数应用程序的中坚力量,但它同时也为开发人员和安全团队带来了安全挑战,而这些挑战可以通过采用“安全左移”的方式解决。开发者安全公司Snyk和Linux基金会的研究人员在他们的《2022开源安全状况》报告中透露,超过41%的组织对他们的开源安全没有足够的信心。报告中也表明在过去的三年中修复开源项目中的安全漏洞所需的时间一直在稳步增加,从2018年的4
·2022-07-20 14:19

OpenSSF 安全计划:SBOM 将驱动软件供应链安全

开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性和安全性。
·2022-07-20 14:18

移动App安全性测试工具整理,app测试就找第三方软件测评机构

随着互联网信息技术的飞速发展,移动应用程序app已经成为了我们生活中不可或缺的一部分,因此移动app的软件安全问题备受关注。
xymbf·2022-07-18 12:03

防止删库跑路及高级代码投毒技巧

数据备份易发现性影响后果代码投毒最近的案例可操作性预防策略最后引言事情是这样的,最近在做开源软件供应链安全相关的项目,之前没了解这方面知识的时候感觉服务器被黑,数据库被删,网站被攻,这些东西都离我们太遥远了,因为感觉好像都轮不到我们,直到我开始做这个项目,才发现网络安全,软件安全问题真的是无处不在
·2022-07-18 12:18

一文掌握软件安全必备技术 SAST

当开发软件时,我们必须同时考虑开发生命周期中的安全性和源代码功能。人为错误是难免的,因此任何企业都会尽可能使用SAST工具,以最大限度地减少进入最终应用程序的代码错误数量,并保护应用程序免受未来的网络攻击。‍让我们一起看看SAST技术究竟是什么,从长远来看,它如何帮助您的应用程序更安全,以及它如何影响企业网络保护。什么是SAST?静态应用程序安全测试(StaticApplicationSecuri
·2022-07-14 11:53

6大优势、2种类型,一文吃透动态应用安全测试(DAST)

在之前的文章中,我们了解了SAST的概念、优劣和使用的工具,并在文章里提到了另一个软件安全领域里的重要技术DAST。本文将会详细介绍DAST的概念、重要性及其工作原理。
·2022-07-13 11:19

Klocwork部署的安全最佳实践

Klocwork是一款静态代码分析和SAST工具,适用于C、C++、C#、Java、JavaScript、Python和Kotlin,可识别软件安全性、质量和可靠性问题,帮助强制遵守标准。
·2022-07-11 15:08

软件安全之代码注入技术 向目标 PE 文件注入 DLL notepad lpk.dll 远程线程函数 提权函数 OpenProcess VirtualAllocEx

实验4代码注入技术引言1、实验说明代码注入是将用户代码注入到其他进程或者可执行文件中,实现拦截目标进程运行过程的关键信息、改变目标进程或可执行文件原本执行流程等目的2、实验目的本实验通过远程线程和输入表注入,向目标进程注入代码、向目标PE文件注入DLL,以加深对代码注入技术的理解。3、实验原理在目标进程中申请内存并写入待注入DLL的路径,然后调用CreateRemoteThread,在目标中创建线
SK Primin·2022-07-08 07:13

一文掌握软件安全必备技术 SAST

上一篇文章中,我们讨论了软件供应链的概念并了解到近年来软件供应链安全事件层出不穷。为了保障软件供应链安全,我们需要了解网络安全领域中的一些主要技术。本篇文章将介绍其中一个重要技术——SAST。当开发软件时,我们必须同时考虑开发生命周期中的安全性和源代码功能。人为错误是难免的,因此任何企业都会尽可能使用SAST工具,以最大限度地减少进入最终应用程序的代码错误数量,并保护应用程序免受未来的网络攻击。‍
·2022-07-06 10:34

网络安全测试工具篇(开源&商业)

更新时间:20160915由于系统安全测试工具和软件安全测试工具有很大的重合,一款优秀的安全软件基本能同时应用于系统安全测试和特定的应用软件测试,而一般的安全防御检测工具也可应用于测试中。
Gordon James·2022-07-05 09:49

2022 开源软件安全状况报告:超 41% 的企业对开源安全没有足够的信心

根据上周刚刚发布的两项研究显示,开源软件早已成为大多数应用程序的中坚力量,但它同时也为开发人员和安全团队带来了安全挑战,而这些挑战可以通过采用“安全左移”的方式解决。开发者安全公司Snyk和Linux基金会的研究人员在他们的《2022开源安全状况》报告中透露,超过41%的组织对他们的开源
SEAL安全·2022-06-28 10:00

android基础-Apk打包过程(了解)

此文来源于《Android软件安全与逆向分析》一、打包资料文件,生成R.java文件。二、处理aidl文件,生成相应的Java文件。三、编译工程源代码,生成相应的class文件。
weixin_34049948·2022-06-28 00:03

系统软件开发基础知识

软件基础包括哪些软件基础知识展现如下:软件有生命周期软件需求软件设计过程软件审计软件测试软件安全面向对象系统建模系统运维软件变更软件图软件状态机软件组件软件计划软件联网
StarSkyHorse·2022-06-27 20:11

OpenSSF安全计划:SBOM将驱动软件供应链安全

开源软件安全基金会(OpenSSF)发布了一项动员计划,以提高开源软件(OSS)的适应性
SEAL安全·2022-06-27 13:00

6大优势、2种类型,一文吃透动态应用安全测试(DAST)

DAST,即动态应用安全测试,是软件安全领域无法绕开的技术之一。本文将会详细介绍DAST的概念、重要性及其工作原理。
SEAL安全·2022-06-17 19:00

体验微软反间谍软件及恶意软件清除工具

2003年微软还成立了名叫病毒信息联盟(VirusInformationAlliance)的俱乐部,它是由微软公司连同软件安全公司TrendMicro以及NetworkAssociates共同建设的一个网络知识仓库
小发猫·2022-06-10 12:46

体验微软反间谍软件及恶意软件清除工具(转)

2003年微软还成立了名叫病毒信息联盟(VirusInformationAlliance)的俱乐部,它是由微软公司连同软件安全公司TrendMicro以及NetworkAssociates共同建
congzhang6627·2022-06-10 12:44

【翻译】“PE文件格式”1.9版 完整译文(附注释) - 看雪软件安全论坛

标题:【翻译】“PE文件格式”1.9版完整译文(附注释)作者:ah007时间:2006-02-28,13:32链接:http://bbs.pediy.com/showthread.php?t=21932$Id:pe.txt,v1.91999/03/2023:55:09LUEVELSMEYERExp$PE文件格式系列译文之一----【翻译】“PE文件格式”1.9版完整译文(附注释)=========
chief1985·2022-05-30 11:37

物联网时代,如何保障嵌入式系统安全?

关于嵌入式系统中的软件安全和防范,你需要知道的技术与以往任何时候相比都更加蓬勃发展,每天都会为之前无法想象的任务创造出新产品及新功能。
·2022-05-25 22:51

融云参编,业界首个办公即时通信软件安全标准重磅发布!

为推动企业数字化进程,帮助企业提高数字化安全能力,中国信息通信研究院(以下简称“中国信通院”)启动“铸基计划”,牵头制定业界首个“办公即时通信软件安全标准”。
·2022-05-09 15:20

墨菲安全正式发布 murphysec 开源项目!让开发者更安全的使用开源代码

4月11日,墨菲安全正式发布了其开源软件安全检测工具——murphysec。据悉,该项目集合了易用、专业、创新等优势,意在帮助每一位开发者更安全的使用开源代码。
·2022-04-11 11:55

java springboot前后端不分离项目

javaspringboot前后端不分离项目基于经典技术组合(SpringBoot、ApacheShiro、MyBatis、Thymeleaf)主要目的让开发者注重专注业务,降低技术难度,从而节省人力成本,缩短项目周期,提高软件安全质量
m0_65127156·2022-03-23 14:25

SpringSecurity 简单使用

SpringSecurity简单使用在Web开发中安全是不可忽视的问题(软件安全技术!),现在从SpringSecurity和Shiro两个框架来学习一下安全框架在Web应用中的使用。
風栖祈鸢·2022-03-19 07:03

漏洞到底要不要修?

早就被发现的Log4j2安全漏洞Log4j2安全漏洞被爆出以后,该漏洞波及范围之广,危害之大,也让各大软件安全厂商针对这个漏洞做出了补丁。
是小白的洛洛·2022-03-18 04:53

Log4j2危情分析|开源软件安全、软件供应链安全与DevSecOps实践已刻不容缓

近日,安全圈被ApacheLog4j2漏洞刷屏。一款使用范围超大的Java日志框架ApacheLog4j2被曝出存在远程代码执行漏洞。该漏洞利用条件非常低,攻击者可以利用该漏洞远程执行恶意代码,从而获取服务器的最高权限。相关的POC、EXP也已经被公开,并且出现了利用该漏洞的攻击行为。目前,CVE漏洞库已收录该漏洞,编号为CVE-2021-44228。一、Log4j2漏洞危情分析由于Log4j2是
tcsecXD·2022-03-17 10:58

浅谈软件供应链安全治理与应用实践

但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。
悬镜安全·2022-03-17 10:56

架构师技术栈——对标阿里P10

顶端企业架构师十项全能软件架构导论架构师核心能力架构设计原则架构设计核心维度架构设计模式架构设计评估分布式架构理论微服务架构设计核心单元化(Set)架构设计服务网络架构设计DDD领域驱动架构设计安全架构—评估方法论、数据安全安全架构—通信身份软件安全云架构
瞎儿卷·2022-02-21 09:22

macOS下搭建HT Editor

很久没更新了我现在把大部分文章会放在我的博客上先更新有空再转移到这边摘要:开始学习虫神的macOS软件安全与逆向分析,主要问题是可能排版有些问题,很多前面的坑的解决方案在后面,而我个人习惯前面遇到了问题先解决掉
pro_cookies·2022-02-20 02:41

代码安全审计(二)Fortify介绍及使用教程

它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。
木箫箫·2022-02-20 00:14

美国政府与科技巨头讨论开源软件安全、近八万网站受开源软件漏洞影响|1月18日全球网络安全热点

安全资讯报告微软称“破坏性恶意软件”被用于对付乌克兰组织微软表示,它发现了破坏性恶意软件被用来破坏乌克兰多个组织的系统。在周六发布的博客中,微软威胁情报中心(MSTIC)表示,它于1月13日首次发现了类似勒索软件的恶意软件。微软解释说:“MSTIC评估说,该恶意软件的设计看起来像勒索软件,但缺乏赎金恢复机制,旨在具有破坏性,旨在使目标设备无法操作,而不是获得赎金。”目前,我们的调查团队已经在数十个
腾讯安全·2022-02-18 09:04
上一页 5 6 7 8 9 10 11 12 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他