- 博客(5)
- 资源 (20)
- 收藏
- 关注
转载 使用IAST工具Semmle QL发现CVE-2018-11776安全漏洞过程(转)
(该文章来自于网络)如何通过Semmle QL找到Apache Struts的远程执行代码漏洞前言2018年4月,一个新的Apache Struts远程代码执行漏洞被报告。在Struts特定配置下,访问特制的URL可以触发该漏洞。漏洞编号为CVE-2018-11776(S2-057)。本文将介绍发现漏洞的过程。映射攻击面许多漏洞涉及从不受信任的源(例如,用户输入)流向某个特定位...
2019-04-24 22:43:15 743
原创 认识DAST、SAST、RAST和IAST
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST,每种技术都有一定的优缺点。我们注意了解一下。DAST是Dynamic Application Security Testing的首字母缩写,是动态应用程序安全测试技术...
2019-04-23 11:45:39 5817 1
原创 IAST工具Semmle QL初探
Semmle公司获得2100美元的B轮融资,领投方为Accel Partners,这是后者第二次投资这家公司。其他投资者包括Work-Bench、Capital One、Credit Suisse、谷歌、微软、NASA和Nasdaq Trust。本轮融资后,Semmle的融资总额将达到3100万美元。那么被业界追捧的Semmle有什么产品呢?Semmle公司声称以一种独特的方法寻找代码中...
2019-04-21 12:39:20 1773 2
原创 安全事件集锦(1)
国内外每年都会出现安全漏洞导致的严重的安全问题的报道,有些造成重大经济损失,有些造成信息泄漏。1、斯诺登棱镜计划泄露的文件中描述PRISM[prɪzəm]计划,能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。美国国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VI...
2019-04-21 10:11:47 857
原创 源代码缺陷检测工具选型(1)
在源代码静态分析和缺陷检测方面,目前市场上主要有Coverity、Checkmarx、Klockwork和CoBOT。前三个为国外工具,最后一个是国内检测工具。其中Coverity和Klockwork都是美国厂商,Checkmarx是以色列厂商。这些工具有什么特点,各自有什么优势呢?笔者的企业正好在筹备引进源代码缺陷检测工具,所以有机会就四款工具进行了对比验证。截止今天只使用两款工具Checkma...
2019-04-21 09:50:17 4042
2023年12月初,新思科技发布了BSIMM 14 从报告上来看,我们能够清晰的看到2023年在软件安全领域发生的变化
2023-12-19
保障软件供应链安全《SBOM推荐实践指南》2023年11月发布译文
2023-12-18
Gartner 2023年7月份发布了安全运营Hype Cycle,这些资料对安全运营做了前瞻性的分析 有时间可以读读
2023-12-01
安全产品开发,经常需要整理OWASP TOP 10与CWE的映射关系,这个文件是OWASP TOP 2021与CWE的映射关系
2023-11-26
静态分析资料汇总和学习笔记
2023-03-09
静态检测工具对比表-F&CO&COV.xlsx
2022-06-25
静态分析工具对比,包括了常见静态分析工具
2022-06-25
静态程序分析(五、六):数据流分析基础理论
2022-06-19
静态程序分析(七):过程间分析
2022-06-19
Mitigating the Risk of Software Vulnerabilities by Adopting
2022-06-19
Static Program Analysis,静态程序分析
2022-06-19
2004&2007&2010&2013&2017 OWASP TOP 10.rar
2020-04-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人