Tianqi_Wukong的博客

在互联网高度发达的当下，智能化的软件成为商业决策、推广等不可缺少的利器，很多软件涉及了客户商业上重要的信息资料，一个细小的安全漏洞，将有可能对客户造成巨大影响。因此，软件安全测试的重要性不言而喻。Web应用安全测试技术经过多年的发展，目前业界常用的技术主要分为以下3大类别。DAST（动态应用程序安全测试）DAST是一种黑盒测试技术，是目前应用最广泛，使用最简单的一种Web应用安全测试方法。技术原理1、通过爬虫发现整个Web应用结构，爬虫会发现被测Web程序有多少个目录，多少个页面，页面中有哪些参数

随着互联网+、云计算、移动智能终端等技术的发展, 软件系统对信息安全的需求越来越高，信息流分析可以有效保证计算机系统中信息的保密性和完整性。污点分析是常见的信息流分析手段，是分析代码漏洞、检测攻击方式的重要手段，在漏洞自动化扫描或者检测工具中有着十分广泛的应用。01 污点分析定义污点分析是一种跟踪并分析污点信息在程序中流动的技术。在漏洞分析中，使用污点分析技术将所感兴趣的数据（通常来自程序的外部输入）标记为污点数据，然后通过跟踪和污点数据相关的信息的流向，可以知道它们是否会影响某些关键的程序操作，进而

手工测试与自动化测试手工测试是指软件测试的整个活动过程（如评审、测试设计、测试执行等）都是由软件测试工程师手工执行来完成，不使用任何测试工具，狭义上是指测试执行由人工完成，这是最基本的测试形式。自动化测试是使用软件来控制测试执行过程，比较实际结果和预期结果是否一致，设置测试的前置条件和其他测试控制条件并输出测试报告。通常，自动化测试需要在适当的时间使已经形式化的手工测试过程自动化。手工测试的优缺点优点：手工测试更具有想象力缺点：1.测试过程、结果记录工作繁琐，消耗大量精力；2.测试成果难以复

提起黑客，很多人的脑中最先浮现的就是“计算机犯罪”，是控制他人电脑、窃取密码甚至存款的无耻之徒。实际上这是一种误解，黑客也存在不同的“面孔”。白帽黑客一般来讲，白帽指的的安全研究人员，或者是从事网络、计算机技术防御的人，他们在发现软件漏洞之后，通常会将这些漏洞报告给厂商，以便厂商即时针对漏洞发布补丁。白帽通常会受雇于各大公司，他们是维护世界网络、计算机安全的主要力量。很多白帽还受雇于公司，对产品进行模拟黑客攻击，以检测产品的可靠性。黑帽黑客黑帽黑客通常为罪犯，通过网络犯罪谋生。他们研究病毒木马、研

01 《网络安全审查办法》出台背景关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。《办法》的出台，为我国开展网络安全审查工作提供了重要的制度保障。02 网络安全审查主要审查哪些内容？网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：产品和服务使用后带来的关键信息基础设施被

0day漏洞0day漏洞最早的破解是专门针对软件，叫做WAREZ，后来才发展到游戏，音乐，影视等其他内容的。0day中的0表示Zero，早期的0day表示在软件发行后的24小时内就出现破解版本。在网络攻防的语境下，0day漏洞指那些已经被攻击者发现掌握并开始利用，但还没有被包括受影响软件厂商在内的公众所知的漏洞，这类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。1day漏洞指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的

01 什么是区块链？区块链（Blockchain）是指通过去中心化和去信任的方式集体维护一个可靠数据库的技术方案。从本质上讲，它是一个共享数据库，存储于其中的数据或信息，具有"不可伪造"、“全程留痕”、“可以追溯”、“公开透明”、"集体维护"等特征，是一种解决信任问题、降低信任成本的信息技术方案。基于这些特征，区块链技术奠定了坚实的"信任"基础，创造了可靠的"合作"机制，具有广阔的运用前景。02 区块链技术特点1.去中心化：去中心化就是指网络中各个节点的地位相等，传输内容和交易数据不再需要通过某个中心

01 什么是DevSecOps？DevSecOps从单词上来看可以分为Dev（开发）、Sec（安全）、Ops（运维）三个部分，DevSecOps是在软件开发生命周期（SDLC）的早期引入安全性，意味着安全防护要贯穿应用开发的整个过程，通过固化流程、加强不同人员协作，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线。02 从DevOps到DevSecOps从字面上看，DevSecOps在DevOps的基础上增加了Sec，可以理解成在遵循DevOps的理念下，将

01 上网前可以做哪些事情确保网络安全？安装个人防火墙，利用隐私控制特性，选择需要保密的重要信息，以防不慎把这些信息发送到不安全的网站。同时防火墙还可以防止网站服务器在未察觉的情况下跟踪你的电子邮件地址和其他个人信息。开启操作系统及其他软件的自动更新设置，及时修复系统漏洞和第三方软件漏洞。检查服务器的进程是否存在恶意进程，管理员账号是否被恶意增加，检查服务器是否开启多余的端口，是否存在木马后门等。02 浏览网页时如何确保信息安全？采用匿名方式浏览网页。你在登录网站时会产生一种叫cookie(即临时

01 网络钓鱼网络钓鱼是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，钓鱼邮件一般是攻击者伪装成同事、合作伙伴、朋友、家人等用户信任的人，通过发送电子邮件的方式，诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序，进而窃取用户敏感数据、个人银行账户和密码登信息，或者在设备上执行恶意代码实施进一步的网络攻击活动，因欺骗迷惑性很强，用户稍不谨慎就很容易上当。02 勒索病毒勒索病毒是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒文件

常见的黑客攻击手段有哪些？1、漏洞攻击黑客利用网络系统的漏洞，利用针对该漏洞的工具进行入侵。无论是操作系统，还是应用程序，协议实现等，都存在大量的漏洞。比较典型的漏洞入侵有：SQL注入入侵，跨站脚步入侵，unicode漏洞入侵等。2、协议欺骗攻击协议欺骗攻击是针对网络协议的缺陷，采取某种欺骗手段，假冒身份来获取信息或取得特权的攻击方式。常见的协议欺骗攻击有如下几种。ARP欺骗攻击、IP欺骗攻击、DNS欺骗攻击。攻击者通过种种欺骗手段，使用户查询（DNS）服务器进行域名解析时获得一个错误的IP地址，从

01 什么是网络安全等级保护测评？网络安全等级保护测评是指测评机构依据《DB/T22239-2019信息安全技术 网络安全等级保护基本要求》等标准，通过访谈、检查、测试等手段对安全技术和管理各层面的安全控制进行整体性验证，确保网络的安全保护措施符合相应等级的安全要求，给出第三方测评机构的网络安全等级测评报告。02 为什么要做网络安全等级保护测评？《网络安全法》明确提出国家实行网络安全等级保护制度，其中十一条和第三十八条又进一步对网络运营者需要履行的安全保护提出了明确要求。为了满足《网络安全法》要求，网

01 什么是关键信息基础设施？关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成严重危害的网络设施和信息系统。02 关键信息基础设施包括哪些？（1）网站类，如党政机关网站、企事业单位网站、新闻网站等；（2）平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；（3）生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。03 我国为什么要加强对关键信息基础设施保护？金融、能源、通信

01 为什么我们的网站会被篡改？第一方面，大部分网站设计更多是考虑满足用户业务的实现，软件开发商和网站的系统运维人员对网站攻击技术不了解，日常的使用过程中没有发现可能存在的安全漏洞。黑客攻击者一般可以较好地利用这些漏洞，为自己谋取利益。第二方面，有些攻击者通过篡改门户网站页面来传播一些非法信息，但实际上，网页在被篡改之前，黑客已经利用漏洞获得了相应的Web控制权限，网站虽然还能继续提供正常的服务，但实际上系统的访问者正遭受这持续的危害。第三方面，大部分网站或系统都有相应的网络安全防护措施，采用访问控制

01 软件代码安全发展历程2005年•美国信息技术咨询委员会关于信息安全的年度报告提出政府和军队的软件产品需要代码安全检测。2006年•CWE（Common Weakness Enumeration）成立。2008年•美国加州大选软件由于未通过代码安全审查而被取消。•美国食品药品管理局器械和辐射健康中心开始使用代码检测工具对发生问题和事故的医疗设备进行检测。2012年•Gartner提出DevSecOps（安全开发周期）概念。2017年•GB/T 34943和34944 C/C++/J

01 什么是加密、解密和秘钥？出于信息保护的目的，在信息传输或存储中，采用密码技术对需要保密的信息进行处理，使得处理后的信息不能被非授权者（含非法者）读懂或解读，这一过程称为加密。在加密处理过程中，需要保密的信息称为“明文”，经加密处理后的信息称为“密文”。加密即是将“明文”变为“密文”的过程。与此类似，将“密文”变为“明文”的过程被称为解密。秘钥从字面上解释是秘密信息的钥匙，掌握了秘钥就可以获得保护的信息。具体来说，秘钥是一组信息编码，他参与密码的“运算”，并对密码的“运算”起特定的控制作用。秘钥是.

网络安全通识全解|第1期 什么是网络安全01 什么是网络安全？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、修改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全是一门设计计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是整体的而不是割裂的，网络安全是动态的而不是静态的，网络安全是开放的而不是封闭的，网络安全是相对的而不是绝对的，网络安全是共同的而不是独立的。网络安全为人民，网络安全靠

悟空云课堂|第五十期：可达的assertion该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第五十期：可达的assertion的相关介绍。01 什么是可达的assertion？程序包含一个可以被攻击者触发的assert()或类似语句，这将导致应用程序退出或其他不必要的严重行为。assertion(断言)在软件开发中是一种常用的调试方式，很多开发语言中都支持这种机制。在实现中，assertion

悟空云课堂|第四十九期:finalize()方法声明为public（CWE-583）该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第四十九期：finalize()方法声明为public（CWE-583）的相关介绍。01 什么是finalize()方法声明为public缺陷？该程序通过将 finalize() 方法声明为 public 违反了移动代码的安全编码原则。02 finalize()方

悟空云课堂|第四十八期：依赖referer字段进行身份鉴别该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第四十八期：依赖referer字段进行身份鉴别的相关介绍。01 什么是依赖referer字段进行身份鉴别？HTTP请求中的referer字段可以很容易地修改，因此不是身份鉴别检查的有效方法。根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该 HTTP 请求的来源地址。也

悟空云课堂|第四十七期：会话固定（CWE-384: Session Fixation）该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第四十七期：会话固定（CWE-384: Session Fixation）的相关介绍。01 什么是会话固定？对用户进行身份鉴别并建立一个新的会话时没有让原来的会话失败。02 会话固定漏洞的构成条件有哪些？当用户成功验证而应用程序不更新cookie时，这个时候就

悟空云课堂|第四十六期：声明为public static的域没有标记final缺陷（CWE-500） ​该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第四十六期：声明为public static的域没有标记final缺陷（CWE-500）的相关介绍。01 什么是public static的域没有标记final缺陷？对象包含未标记为final的公共静态字段，这可能允许以意外方式对其进行修改。0

悟空云课堂|第四十五期：未检查的错误情况（CWE-391)该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为第四十五期：未检查的错误情况（CWE-391）的相关介绍。01 什么是未检查的错误情况？以InterruptedException为例，InterruptedException出现一般都是因为在线程执行的时候被打断(interrupt)，线程(A)不是自己打断自己，一般都是在另外一个线程(B

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。01 什么是空指针解引用？如果一个指针变量的值为NULL，解引用这个指针时，会导致程序崩溃（Segmentation fault）。02 是空指针解引用有什么危害？指针操作不当会产生动态内存错误，比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(Nu.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第四十二期：密码分组链接模式未使用随机初始化矢量（CWE-329: Not Using an Unpredictable IV with CBC Mode）什么是密码分组链接模式未使用随机初始化矢量？在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第四十一期：CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF)01 什么是csrf漏洞？CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是.

【悟空云课堂】第四十期：RSA算法未使用最优非对称加密填充关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。漏洞简介：软件使用了RSA算法，但未使用最佳非对称加密填充方式（OAEP），而如果不使用OAEP，则攻击者只需较少的工作即可解密数据或从密文中推断出特征、模式。什么是填充方式？填充模式在代码中体现为padding，通

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。什么是违反信任边界？让数据从不受信任的一边移到受信任的一边却未经验证。违反信任边界漏洞的构成条件有哪些？当程序模糊了受信任和不受信任之间的界限时，就会发生信任边界冲突。违反信任边界漏洞会造成哪些后果？开发者更容易错误地相信那些未被验证的数据，导致未经验证的数据被攻击者利用.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。什么是空密码缺陷？在代码开发阶段，若使用空字符串作为密码，则会构成空密码缺陷。空密码缺陷会造成哪些后果？若我们使用空字符串作为密码，则会导致允许对应用程序进行未经授权的访问。用户名和密码信息都不应以明文包含在配置文件或属性文件中。空密码缺陷的防范和修补方法有哪些？1、开发.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。什么是除数有可能为零缺陷？运算操作时，除法或求余数操作容易受到除数有可能为零的影响。因此，必须在操作之前检查除法运算或求余数运算中的除数不为零。根据除法的意义，除法是已知两个因数的积与其中一个因数，求另一个因数的运算。利用除法与乘法的互逆关系可知，如果除数为零，则：当被除数不为.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。什么是使用过时方法缺陷？（CWE-477:Use of Obsolete Function）代码使用了不推荐使用的或已经过时的方法，这表明该代码没有得到积极地审查或维护。随着编程语言的发展，由于以下原因，方法有时会过时：1、语言进步2、更深入理解如何安全有效地执行操作3、.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第三十五期：加密强度不足（CWE-326:Inadequate Encryption Strength）什么是加密强度不足缺陷？大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据，但强度不足以达到所需的保护级别。RSA是.

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第三十四期：空的同步块（CWE-585:Empty Synchronized Block）什么是空的同步块缺陷？空的同步块实际上并不能完成任何同步，并且可能是有问题的代码段。空的同步块可能是因为在不删除同步块的情况下，注释掉了同步块中不再需要的代码导致的。空的同步块缺陷

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第三十三期：表达式永假/永真（CWE-570:Expression is Always False）什么是表达式永假/永真缺陷？如果布尔表达式不改变程序逻辑，则完全没有必要，并且可以将其删除。如果执行逻辑与程序员的意图不匹配，这就是一个错误，布尔表达式应该被修复。.

什么是switch中省略了break语句导致的代码缺陷？break语句通常用在循环语句和switch语句中。当break用于switch语句中时，可使程序跳出switch而执行switch以后的语句；如果没有break语句，则会从满足条件的地方（即与switch（表达式）括号中表达式匹配的case）开始执行，直到switch结构结束。如果程序在switch或类似构造中省略了break语句，则会导致多个条件相关联的代码被执行。当程序员只打算执行与一个条件相关的代码时，这可能会引起问题，可能导致关键代码在不

【悟空云课堂】第十九期：用不安全的授权创建临时文件漏洞什么是用不安全的授权创建临时文件？在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻击。用不安全的授权创建临时文件漏洞构成条件有哪些？满足以下条件，就构成了一个该类型的安全漏洞：使用创建临时文件的方法创建了一个可供所有用户读写的临时文件。临时文件没有设置读、写、执行权限。用不安全的授权创建临时文件漏洞会造成哪些后果？关键词：读取应用程序数据；其他；1、如果攻击者可以读取临时文件，则该文件中可能

悟空云课堂 | 第三十二期：不受控制的资源消耗（CWE-400:Uncontrolled Resource Consumption）01 什么是不受控制的资源消耗缺陷？软件无法正确控制有限资源的分配和维护，从而使参与者无法影响所消耗的资源量，最终导致可用资源的耗尽。有限的资源包括内存，文件系统存储，数据库连接池条目和CPU。如果攻击者可以触发这些有限资源的分配，但是资源的数量或大小不受控制，则攻击者可能会导致拒绝服务，从而消耗所有可用资源。这将阻止有效用户访问该软件，并且可能对周围环境产生影响。例如

【悟空云课堂】第三十一期：使用错误的运算符进行字符串比较（CWE-597:Use of Wrong Operator in String Comparison）什么是使用错误的运算符进行字符串比较缺陷？比较字符串时，使用了错误的运算符，例如当应使用equals（）方法代替时，使用“==”。使用错误的运算符进行字符串比较缺陷构成条件有哪些？使用“==”运算符比较字符串。使用错误的运算符进行字符串比较缺陷会造成哪些后果？在Java中，使用”==”或”!=”比较两个字符串是否相等，实际上是比较两个对象

【悟空云课堂】第三十期：抛出通用异常（CWE-397: Declaration of Throws for Generic Exception）什么是抛出通用异常缺陷？抛出过于宽泛的异常会导致复杂的错误处理代码，这些代码很可能包含安全漏洞。声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如，Java的异常机制的设置使调用者能够轻松地预测可能出现的错误，并编写代码来处理每个特定的异常情况。抛出通用异常缺陷构成条件有哪些？抛出过于宽泛的异常。抛出通用

【悟空云课堂】第二十九期：通用异常捕获声明（CWE-396: Declaration of Catch for Generic Exception）什么是通用异常捕获声明缺陷？捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。。通用异常捕获声明缺陷构成条件有哪些？捕捉异常似乎是处理多个可能异常的有效方法。不幸的是，它会捕获所有异常类型，检查异常和运行时异常，从而造成了捕获范围过大。通用异常捕获声明缺陷会造成哪些后果？捕获范围过于广泛的异常实质上会破坏Java类型异常的目的，并