- 博客(8)
- 收藏
- 关注
RSS订阅原创 SDL[项目安全评审]
操作流程 1.分析项目需求流程,功能,架构文档 2.安全风险,stride威胁建模,隐私保护(GDPR) 3.根据流程,功能,架构等提出安全需求【要求能落地】 4.建立草稿 5.建立文档[根据1,2,3 +名词解释,安全需求对应的作用等] 6.平台录入存档 风险模型[例子] 1.1 数据威胁模型[数据属性:id,name] 注入攻击 越权攻击 XXE攻击 SSR...
2018-04-28 11:33:22
2467
原创 代码审计[Spring基础]
spring 掌握 spring 架构 spring 工作流程 spring 目录结构 spring 关键函数和常用类 spring 语法 1 spring框架概述 1.1 什么是spring l Spring是一个开源框架,Spring是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson 在其著作Expert One...
2018-04-28 10:56:48
379
原创 代码审计[Sonar规则开发]
环境要求: jdk 1.8 maven 3.0 以上 步骤: 创建一个SonarQube插件 增加相关依赖 创建自定义rules 生成插件的jar包 将该jar包放在SONARQUBE_HOME/extensions/plugins目录下 重启SonarQube 自定义规则demo模板: https://github.com/Canbing007/reposit...
2018-04-21 16:25:55
262
原创 代码审计[Sonar + Git + Jenkins]
1.工具命令和jdk安装 yum update yum install wget,vim,unzip -y tar zxvf jdk-8u171-linux-x64.tar.gz 添加环境变量配置,命令如下: vi /etc/profile 在该文件的末尾加上以下内容后保存: #JDK JAVA_HOME=/usr/bin/jdk1.8.0_151 JRE_HOME=/usr/bin/jdk...
2018-04-21 13:26:21
711
原创 代码审计[Sonar规则开发2]
安全设置 1.启用用户安全认证 配置LDAP登陆: 1.下载ladp插件 2.ldap登陆配置: sonar.jdbc.username=sonar sonar.jdbc.password=sonar #score.jdbc.driverClassName=com.mysql.jdbc.Driver sonar.jdbc.url=jdbc:mysql://localhost:3306/so...
2018-04-17 14:45:52
522
原创 代码审计[Sonar规则开发]
一.背景和目的 随着新时代、新业务、新技术的快速发展,应用软件安全缺陷层出不穷。虽然一般情况下,开发者基本都会有单元测试、每日构建、功能测试等环节来保证应用的可用性; 但在代码质量、可维护性、安全等方面,缺乏意识,最终导致安全缺陷,代码逻辑混乱,不可维护等问题的出现。 目的:在开发中提高安全,减少安全隐患,减少人力【如何高效开发,并提高代码安全和质量,保持持续交付 】 策略:1.使用开...
2018-04-16 17:53:50
2280
原创 SDL[扫描器方案]
1.背景和需求 背景: 目前国内和国外大部分企业在安全上都存在一些问题,其中主要体现在对外展示和业务方法的web站点上;...一大堆的介绍省略 ... 需求: 想做一个符合公司扫描测试需求又能自己玩的扫描器 提高漏洞测试和验证效率,能快速找出通用型和简单的一些弱点问题并给出修复建议 快速验证最新的poc漏洞,提高站点和系统的安全性;避免造成损失 公司需求功能: 端口扫描 poc扫描 ...
2018-04-16 15:52:48
500
原创 项目[整体安全架构设计方案]
第1章 综述... 3 1.1 概述... 3 1.2 现状分析... 4 1.3 设计目标... 8 第2章 信息安全总体规划... 10 2.1设计目标、依据及原则... 10 2.1.1设计目标... 10 2.1.2设计依据... 10 2.1.3设计原则... 11 2.2总体信息安全规划方案... 12 2.2....
2018-04-14 20:20:26
6831
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人