- 博客(562)
- 资源 (20)
- 收藏
- 关注

原创 不管SDLC还是Devops,请把好安全质量门
微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
2020-03-13 17:45:39
7180

原创 《GB/T 34943-2017语言源代码漏洞测试规范》简单解读
这几天正在了解GB/T 34943-2017 C/C++语言源代码漏洞测试规范。该标准是2017年11月1日发布,2018年5月1日正式实施的国家标准。该标准是中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布。该标准起草时,按照GB/T 1.1-2009给出的规则起草的。该标准主要起草单位有珠海南方软件网络评测中心、珠海中惠微电子有限公司等10家单位联合起草的...
2020-03-12 17:25:37
1663

原创 浅谈DevSecOps工具链中的源代码安全保障
近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...
2020-02-11 18:08:16
1740

原创 再借你一双慧眼 识别强大的代码安全审计工具
今天,我还是分析一款强大的代码安全审计工具到底应该什么样?还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中,分为10类,例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子,进行分析。先看SQL注入,我从其中选择了一个具有代表性的案例,BenchmarkTest00105.j...
2019-12-31 07:42:09
513
原创 一款SAST工具需要支持多少种编译器呢?
除了Java语言,C#语言之外,C、C++语言是编译器类型最多的编程语言,有几十种编译器,这些编译器方言为研发SAST工具带来了巨大的工作量,很多产品由于无法适配客户的编译器,导致无法检测。下面我们罗列一下国外和国内对C、C++最强的SAST工具,支持的编译器数量。当然Cobot的优势在于使用了代码补齐技术,在编译不通过情况下,一样可以完成检测,而很多工具,编译不通过不能进行检测,或检测结果不具有可信性。
2023-03-03 15:19:58
603
1
原创 SAST——Checkmarx静态检测工具收集(2)
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案,该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。Checkmarx使用
2022-03-27 17:51:46
11924
原创 GB/T 34944中路径遍历漏洞分析(之一)
源代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够,1是仅仅覆盖了C/C++、Java和C#语言;2是安全漏洞类型仅仅有43个类型,也是不够的;3另外,需要检测工具落地,结合人工复核技术,真正落实源代码审计中,对误报进行分析,对于漏报漏洞可能性进行分析。
2021-12-12 12:01:25
9283
原创 企业级源代码安全审计
代码审计专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。 企业要建立代码安全审计平台,实现高效的自动化代码安全审计,需要打通企业研发生命周期的各个环节,让自动化检测工具融入现有开发、测试环境,并真正被接受和充分利用,需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限...
2020-06-03 10:42:43
1021
原创 新基建形势下安全公共服务平台建设机遇
2020年初的疫情危机前面,党中央和国务院审时度势、果断应对、科学防控,以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利,病毒仍然在世界范围内迅速蔓延,世界各国经济发展遇到了挑战。恢复经济的着力点在哪里,成为政府和各界热议的话题。3月4日,中央政治局常务委员会会议强调,加快推进国家规划已明确的重大工程和基础设施建设,加快5G网络、数据中心等新型基础设施建设进度,再次...
2020-05-05 14:25:59
1704
5
原创 2020疫情期间软件代码安全领域你不得不了解的重要事件
在软件代码安全领域,是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者,一直专注于软件静态分析工具研发,其核心产品Checkmarx在全球享有非常高的知名度,具有大量用户。在静态分析工具领域,2019年是一次比较大的收购是GitHub收购Semmle公司,官方没有公布收购价格,但是Semm...
2020-04-12 15:30:24
1819
原创 开源治理工具选一个
随着开源技术在云计算、大数据、AI领域的不断运用,不断破除技术壁垒,让企业快速建立自身的应用,在开源软件基础一,自主研发部分代码,便可以推出企业自身品牌的产品,开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计,98%的企业管理者并不知道自己研发产品里的成分、...
2020-04-12 12:56:01
1187
原创 迁出X86架构,你准备好了吗?
由第一计算平面迁移到第二计算平面,也就是由原来的X86架构迁移到ARM架构,必将成为中国IT行业发展历史上的重要里程碑。当性能和安全摆在企业面前,让我们选择时,安全当然是被放在第一的位置。但是ARM架构处理器的性能本身还是非常优秀,最早ARM架构的处理器多由于军工领域和民用的视频音频解压缩处理领域。现在华为获得ARM的授权,在鲲鹏处理器研发上不断推出处理器,解决了服务器最核心的CPU...
2020-04-01 22:24:29
764
原创 CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系
OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...
2020-03-27 21:21:49
1543
原创 RSA大会不断推动DevSecOps的成熟和完善
2020年RSA大会于2月24日至28日在美国旧金山召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标,今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...
2020-03-15 23:08:54
337
原创 自动化检测工具助力GJB 8114-2013 C/C++语言编程安全子集标准落地应用
2013年7月10日,中国人民解放军总装备部发布了中华人民共和国国家军用标准GJB 8114,全称为GJB 8114-2013《C/C++语言编程安全子集》,提出软件编程标准,以提高国家军用软件的安全性,并作为静态规则检查的依据。GJB 8114的提出源于2005年发布的GJB 5369,全称为GJB 5359-2005《航天型号软件C语言安全子集》是航天领域嵌入式C语言的编程标准...
2020-03-13 22:38:47
4679
原创 一步一步学习DVWA渗透测试(CSP Bypass绕过内容安全策略)-第十二次课
小伙伴们,今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时,主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发...
2020-02-29 21:37:01
1116
原创 一步一步学习DVWA渗透测试(Weak Session IDs脆弱的Session)-第十一次课
(CSDN 发文章时,拷贝文章中的图时,基本上每次都出错,需要一张一张拷贝进来。CSDN难道不能解决这个问题吗?)当用户登录后,在服务器就会创建一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带session去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID,则攻击者将可以轻易获取访问权限,无需登录直接进入...
2020-02-21 22:10:16
594
原创 一步一步学习DVWA渗透测试(File Upload文件上传)-第九次课
朋友们,在抗击新型肺炎的战役中,医护人员、政府和相关保障企业做出了巨大贡献,甚至生命。我们隔离在家,只有不信谣言、不断学习、传播正能量,共同呵护我们共同的家园。天地同根,万物共息。文件上传通常是由于对上传文件的类型,内容没有进行严格的过滤,检查,导致攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传扩展带来的危害常常是毁灭性的。文件上传漏洞的利用条件:能够成功上传...
2020-02-07 11:54:11
365
原创 一步一步学习DVWA渗透测试-(File Inclusion文件包含)-第八次课
File Inclusion,意思是文件包含(漏洞),是指当服务器开启llow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远...
2020-02-03 16:31:29
544
原创 一步一步学习DVWA--Command Injection命令行注入(第七期)
各位小伙伴,年底比较忙,直到今天我才有时间继续学习新内容。今天我们继续学习Command Injection,翻译为中文就是命令行注入。是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在OWASP TOP 10中一种存在注入漏洞,最常见的就是SQL和命令行注入。PHP开发的系统中存在命令注入漏洞,也是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!...
2020-01-15 21:25:24
405
原创 一步一步学习DVWA--SQL Injection SQL注入(第六期)
SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件,据说黑客依靠的就是常见的SQL注入漏洞。手工注入思路自动化的注入神器sqlmap固然好用,但还是要掌握一些手工...
2019-12-28 20:40:48
1304
1
原创 借你一双慧眼,识别代码安全审计工具
代码安全审计产品、代码缺陷分析产品、代码安全分析等基于源代码静态分析技术的产品市场上越来越多,但是质量却层次不齐,误报率非常高,漏报率也不低,究其原因是为什么呢?因为一款静态分析类产品研发不是轻松的事,往往要经历几年时间,产品才会逐渐成熟,支持的开发语言和安全漏洞类型才能达到企业级应用水平,一般中小企业是很难投入如此长的时间进行研发的,而且静态分析类产品底...
2019-12-26 18:02:20
658
原创 开源组件安全漏洞检测主流工具对比
下面是根据笔者从事软件代码安全检测工作的经验以及对开源组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到...
2019-12-25 17:50:16
8246
8
原创 代码安全审计浅析
近些年来,随着我国社会发展和科技进步,在军事、航天、航空、能源、金融、公共安全等众多领域,国家大型关键基础设施正在向着更强、更高的水平急剧跃升,呈现出超大型化、复杂化、安全关键的特征。软件在系统中起到核心的作用。随着软件规模的日益增大,代码数量由几万行,发展到现在经常出现几十万行,甚至几百万行代码的规模,系统的逻辑结构越来越复杂,只靠人工基本上无法满足代码审计的对于时效和成本等各方面的要求。...
2019-12-25 17:31:43
1805
1
原创 一步一步学习DVWA--CSRF跨站请求伪造攻击(第五期)
小朋友们,今天我们开始学习CSRF跨站请求伪造攻击。CSRF是Cross-site request forgery的首字母拼写,中文一般称为跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。早在 2007 年就...
2019-12-15 20:24:47
293
原创 一步一步学习DVWA--Stored XSS(第四期)
今天我学习XSS攻击的第三种类型,Stored XSS,也就是存储型XSS。存储型XSS的不同之处在于它可以将用户有害输入信息存储在后台数据库中,不需要攻击者构造URL链接诱使受害人单击而触发攻击,目标网站的其它用户只要访问插入恶意代码的网站相关页面即可触发代码执行。相比较反射型XSS更隐蔽性,受害者范围更广,在这我们将学习一些更为隐蔽的隐式的方式来获取用户cookie。 首先设置为Low...
2019-12-11 21:34:36
359
原创 一步一步学习DVWA--DOM XSS(第三期)
XSS(DOM) DOM类型攻击 1、Low级别选择’English’,查看后端源代码如下,说明无任何保护措施,直接尝试注入。单击【Select】后,发送get请求。把参数修改为http://192.168.92.129/DVWA/vulnerabilities/xss_d/?default=<script>alert(1)</script>...
2019-12-07 14:58:18
226
原创 最强代码审查工具报告
今天给大家show一下,国内最强的代码审查工具CoBOT,对OWASP Benchmark进行代码审查的报告。 Benchmark 代码检测报告 ...
2019-12-07 09:49:05
2752
原创 一步一步学习DVWA--反射型XSS (第二期)
今天我学习一下反射型XSS。1、low级别打开DVWA网站,先切换到low级别,选择XSS(Reflected)先查看其源代码:<?phpheader("X-XSS-Protection:0");//Isthereanyinput?if(array_key_exists("name",$_GET)&&$_GET['name...
2019-12-01 20:11:05
221
原创 VDG值依赖分析技术
北大软件CoBOT(库博)是具有自主知识产权的静态检测工具。在2013年获得了计算机软件著作权,基于值依赖分析的C程序缺陷静态检测系统。很多同行对值依赖分析的概念可能不是太清楚,今天我们主要分析一下这个技术。值依赖分析是建立在值流模型基础之上的,值流模型最早由Horwitz提出,值流图中结点与结点之间的连线表示的是数据流分析中的定值使用关系。值流依赖表示由于定值-使用连接的依赖关系。值流依赖关...
2019-11-26 15:59:15
797
原创 谁真正写了你正在使用的代码?
根据2019年11月12日来自于五角大楼的Dod发言称,谁真正写了你的代码?原因主要是因为美国程序员经常从各种场合下载使用来自于俄罗斯和中国程序员编写的代码。这对美国的国防安全提出了严峻挑战,所以五角大楼正在研究开发或者购买工具来实现对代码的追踪。一位负责采购软件的美国官员称,虽然我们购买的软件来自于美国公司,但是不意味着所有的代码都是这里写的。软件开发公司或程序开发人员将工作...
2019-11-18 23:00:49
287
原创 XSS(Reflected) 反射型跨站攻击
今天我学习一下反射型XSS。打开DVWA网站,先切换到low级别,选择XSS(Reflected)先查看其源代码:<?phpheader("X-XSS-Protection:0");//Isthereanyinput?if(array_key_exists("name",$_GET)&&$_GET['name']!=...
2019-11-05 21:11:16
1952
原创 谈谈测试视角或测试思维
这些天正好与朋友聊测试视角,如何培训建立测试视角,都认为还是有一定困难的,毕竟软件测试是门实践性的学科,经验积累还是很重要的,测试的项目多了,自然而然的思考的测试角度广了,深了。但是如果是培训的话,如何在一天配撇中,提升测试视角呢?其实应该也有一些方法,下面我通过一个小例子,谈谈如何建立测试视角。这是一个检测项目的页面,通过浏览器访问的,主要是通过新建项目按钮建立项目后,可以启动进行检测、中止...
2019-10-31 23:11:07
614
原创 一步一步学习DVWA--蛮力破解(第一期)
小伙伴们,我们一起学习一下DVWA这个如何进行安全攻击吧。学习下DVWA(Damn Vulnerable Web Application),那么这玩意是个啥呢?DVWA是一款渗透测试的练习系统,也就是我们的测试靶机,很适合入门,要为以后的挖洞致富之路打好基础DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MyS...
2019-10-31 22:06:20
1093
原创 离线在Jenkins安装CoBOT安装插件
最近在某金融客户做POC,把CoBOT安装在Jenkins上面,当前Jenkins版本没有任何插件,安装后由于是云桌面没有连接互联网或已经设置访问策略,无法进行在线安装插件,所以只能下载插件后再安装。在网络上搜索Jenkins插件,下载到两个插件包,4G插件,这么多插件手工安装,那不是累的吐血,也没有这么多时间。还是感谢Jenkins平台,在配置项目过程中,会逐步提示缺少什么,如下...
2019-10-23 10:05:16
371
原创 PHPStudy后门植入代码和利用分析
PHPStudy软件是国内的一款免费的PHP调试环境集成包,一般在本机调试情况下使用,当然也有一些企业在生产中也可能使用。该后门首先由ChaMd5安全团队发布监测方法和后门位置。该软件被恶意攻击者攻击,注入了后门,通过远程控制抓取账号密码等信息传固定服务器上。要检查安装的phpstudy是否有漏洞,可以使用下面脚本(安识安全团队撰写的,不重复造轮子了)#encoding:utf-...
2019-10-13 23:18:34
1126
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人