manok
码龄17年
  • 269,884
    被访问
  • 547
    原创
  • 8,479
    排名
  • 222
    粉丝
关注
提问 私信

个人简介:软件测试的老兵,现在专注安全领域

  • 加入CSDN时间: 2005-05-01
博客简介:

manok的专栏

查看详细资料
  • 3
    领奖
    总分 324 当月 6
个人成就
  • 博客专家认证
  • 获得84次点赞
  • 内容获得194次评论
  • 获得544次收藏
创作历程
  • 2篇
    2022年
  • 2篇
    2021年
  • 16篇
    2020年
  • 64篇
    2019年
  • 4篇
    2018年
  • 1篇
    2016年
  • 1篇
    2013年
  • 9篇
    2012年
  • 28篇
    2011年
  • 14篇
    2010年
  • 37篇
    2009年
  • 47篇
    2008年
  • 60篇
    2007年
  • 240篇
    2006年
  • 34篇
    2005年
成就勋章
TA的专栏
  • 软件安全
    8篇
  • 软件测试
    9篇
  • 渗透测试
    14篇
  • 性能调优
    1篇
  • 代码安全
    64篇
  • APP自动化测试
    3篇
  • 市场浅析
    5篇
兴趣领域 设置
  • 安全
    系统安全
  • 最近
  • 文章
  • 资源
  • 问答
  • 帖子
  • 视频
  • 课程
  • 关注/订阅/互动
  • 收藏
搜TA的内容
搜索 取消

SAST——Checkmarx静态检测工具收集(2)

Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案,该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。Checkmarx使用
原创
发布博客 2022.03.27 ·
4530 阅读 ·
0 点赞 ·
0 评论

Log4j2安全漏洞引起的思考

log4j安全漏洞能够从代码级别上和软件成分分析上两个维度上进行检测。
原创
发布博客 2022.01.26 ·
333 阅读 ·
0 点赞 ·
0 评论

第二讲 外部实体注入

源代码审计,最近比较火爆,我们是创新的源代码审计课程。
原创
发布博客 2021.12.19 ·
704 阅读 ·
0 点赞 ·
0 评论

GB/T 34944中路径遍历漏洞分析(之一)

源代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够,1是仅仅覆盖了C/C++、Java和C#语言;2是安全漏洞类型仅仅有43个类型,也是不够的;3另外,需要检测工具落地,结合人工复核技术,真正落实源代码审计中,对误报进行分析,对于漏报漏洞可能性进行分析。
原创
发布博客 2021.12.12 ·
1984 阅读 ·
0 点赞 ·
0 评论

企业级源代码安全审计

代码审计专家服务团队,除了提供网络、现场的源代码审计服务外,为了帮助企业建立代码安全审计平台、Devops/DevSecOps平台、代码扫描基线、安全和质量编码规范、制度流程,打通企业研发的各个管理环节,实现自动化等企业级源代码安全审计咨询服务。 企业要建立代码安全审计平台,实现高效的自动化代码安全审计,需要打通企业研发生命周期的各个环节,让自动化检测工具融入现有开发、测试环境,并真正被接受和充分利用,需要从工具选型、扫描基线、编码规范到制度流程等各个环节进行评估和设计。包括但不限...
原创
发布博客 2020.06.03 ·
794 阅读 ·
1 点赞 ·
0 评论

新基建形势下安全公共服务平台建设机遇

2020年初的疫情危机前面,党中央和国务院审时度势、果断应对、科学防控,以巨大的制度优势和战略自信带领全国人民取得了疫情阻击战的阶段性胜利,病毒仍然在世界范围内迅速蔓延,世界各国经济发展遇到了挑战。恢复经济的着力点在哪里,成为政府和各界热议的话题。3月4日,中央政治局常务委员会会议强调,加快推进国家规划已明确的重大工程和基础设施建设,加快5G网络、数据中心等新型基础设施建设进度,再次...
原创
发布博客 2020.05.05 ·
1137 阅读 ·
0 点赞 ·
5 评论

2020疫情期间软件代码安全领域你不得不了解的重要事件

在软件代码安全领域,是上周以色列Checkmarx公司被私募股权公司以惊人的11.5亿美元注资收购。Checkmarx公司是应用程序安全测试方案的全球领导者,一直专注于软件静态分析工具研发,其核心产品Checkmarx在全球享有非常高的知名度,具有大量用户。在静态分析工具领域,2019年是一次比较大的收购是GitHub收购Semmle公司,官方没有公布收购价格,但是Semm...
原创
发布博客 2020.04.12 ·
1593 阅读 ·
1 点赞 ·
0 评论

2004&2007&2010&2013&2017 OWASP TOP 10.rar

发布资源 2020.04.12 ·
rar

开源治理工具选一个

随着开源技术在云计算、大数据、AI领域的不断运用,不断破除技术壁垒,让企业快速建立自身的应用,在开源软件基础一,自主研发部分代码,便可以推出企业自身品牌的产品,开源技术的应用极大的推动了云计算、大数据、AI等领域的快速发展。但是开源软件的引用不可避免的带来了知识产权、信息安全等方面问题。根据Gartner统计,98%的企业管理者并不知道自己研发产品里的成分、...
原创
发布博客 2020.04.12 ·
986 阅读 ·
2 点赞 ·
0 评论

迁出X86架构,你准备好了吗?

由第一计算平面迁移到第二计算平面,也就是由原来的X86架构迁移到ARM架构,必将成为中国IT行业发展历史上的重要里程碑。当性能和安全摆在企业面前,让我们选择时,安全当然是被放在第一的位置。但是ARM架构处理器的性能本身还是非常优秀,最早ARM架构的处理器多由于军工领域和民用的视频音频解压缩处理领域。现在华为获得ARM的授权,在鲲鹏处理器研发上不断推出处理器,解决了服务器最核心的CPU...
原创
发布博客 2020.04.01 ·
544 阅读 ·
0 点赞 ·
0 评论

CoBOT Java安全漏洞检测类型与OWASP TOP 10对应关系

OWASP(Open Web Application Security Project)开放式web应用程序安全项目,是一个非营利性组织,不依附于任何企业或财团的安全组织,几乎每隔3年发布的OWASP TOP 10安全漏洞以及成为安全行业事实上的标准。各安全检测工具以支持OWASP TOP 10中的更多安全漏洞类型作为目标。 作者统计了OWASP 2004、2007、...
原创
发布博客 2020.03.27 ·
1367 阅读 ·
1 点赞 ·
0 评论

RSA大会不断推动DevSecOps的成熟和完善

2020年RSA大会于2月24日至28日在美国旧金山召开,今年的会议主题为“Human Element”,人为因素被认为是影响未来网络安全发展最深远的主题。DevSecOps任然是大家关注的焦点之一。RSA创新沙盒是全球网络安全风向标,今年进入十强的安全厂商中近半数聚焦在应用安全领域。BluBracket和ForAllSecure是今年DevSecOps领域的创新厂商代表。我在整理一...
原创
发布博客 2020.03.15 ·
264 阅读 ·
0 点赞 ·
0 评论

不管SDLC还是Devops,请把好安全质量门

微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
原创
发布博客 2020.03.13 ·
761 阅读 ·
0 点赞 ·
0 评论

《GB/T 34943-2017语言源代码漏洞测试规范》简单解读

这几天正在了解GB/T 34943-2017 C/C++语言源代码漏洞测试规范。该标准是2017年11月1日发布,2018年5月1日正式实施的国家标准。该标准是中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会联合发布。该标准起草时,按照GB/T 1.1-2009给出的规则起草的。该标准主要起草单位有珠海南方软件网络评测中心、珠海中惠微电子有限公司等10家单位联合起草的...
原创
发布博客 2020.03.12 ·
1007 阅读 ·
0 点赞 ·
0 评论

一步一步学习DVWA渗透测试(CSP Bypass绕过内容安全策略)-第十二次课

小伙伴们,今天我们继续学习。Content-Security-Policy是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。翻译为中文就是绕过内容安全策略。是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻击时,主要采用函数过滤、转义输入中的特殊字符、标签、文本来规避攻击。CSP的实质就是白名单制度,开发...
原创
发布博客 2020.02.29 ·
956 阅读 ·
1 点赞 ·
0 评论

一步一步学习DVWA渗透测试(Weak Session IDs脆弱的Session)-第十一次课

(CSDN 发文章时,拷贝文章中的图时,基本上每次都出错,需要一张一张拷贝进来。CSDN难道不能解决这个问题吗?)当用户登录后,在服务器就会创建一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带session去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID,则攻击者将可以轻易获取访问权限,无需登录直接进入...
原创
发布博客 2020.02.21 ·
403 阅读 ·
0 点赞 ·
0 评论

浅谈DevSecOps工具链中的源代码安全保障

近期,很多企业开始关注DevSecOps,下面根据作者对其理解,简单分析一下在DevSecOps的源代码安全该如何考虑和建设。主要分5部分:1、DevSecOps建设的背景和目的2、安全才是提升研发交付质量的第一要素3、安全自动化是安全交付的保障4、企业如何实施DevSecOps5、企业落实DevSecOps的动力正文:1 DevSecOps建设的背景和目的随着...
原创
发布博客 2020.02.11 ·
1432 阅读 ·
0 点赞 ·
0 评论

一步一步学习DVWA渗透测试(File Upload文件上传)-第九次课

朋友们,在抗击新型肺炎的战役中,医护人员、政府和相关保障企业做出了巨大贡献,甚至生命。我们隔离在家,只有不信谣言、不断学习、传播正能量,共同呵护我们共同的家园。天地同根,万物共息。文件上传通常是由于对上传文件的类型,内容没有进行严格的过滤,检查,导致攻击者可以通过上传木马获取服务器的webshel​​l权限,因此文件上传扩展带来的危害常常是毁灭性的。文件上传漏洞的利用条件:能够成功上传...
原创
发布博客 2020.02.07 ·
274 阅读 ·
1 点赞 ·
0 评论

一步一步学习DVWA渗透测试-(File Inclusion文件包含)-第八次课

File Inclusion,意思是文件包含(漏洞),是指当服务器开启llow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞,远...
原创
发布博客 2020.02.03 ·
449 阅读 ·
0 点赞 ·
0 评论

一步一步学习DVWA--Command Injection命令行注入(第七期)

各位小伙伴,年底比较忙,直到今天我才有时间继续学习新内容。今天我们继续学习Command Injection,翻译为中文就是命令行注入。是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。在OWASP TOP 10中一种存在注入漏洞,最常见的就是SQL和命令行注入。PHP开发的系统中存在命令注入漏洞,也是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!...
原创
发布博客 2020.01.15 ·
308 阅读 ·
1 点赞 ·
0 评论
加载更多