Aggregator

Decrypting Fortinet's FortiOS 7.0.x

Grey Noise
6 months 1 week ago
Curious about decrypting Fortinet's FortiOS 7.0.x firmware? In the latest Grimoire post, we delve into the technical details of doing just that, revealing a hardcoded key used in the ChaCha20 encryption algorithm and the steps required to extract the decrypted rootfs.gz file.

SDL 25/100问:应该如何选型代码安全扫描工具?

我的安全视界观
6 months 1 week ago
一般在做选型时,我通常会以最终要实现的目标来分析,然后再结合一些行业规范及最佳实践,整合起来便能找到恰当的参考要素。故,可从检出效果和便利性角度出发: 1、检测效果:      1)漏洞检出率:应能够覆盖尽可能多的开发语言,能扫描出尽可能多的漏洞类型和数量;      2)代码扫描速度:快速的扫描有助于提高开发效率,减少等待时间,更容易嵌入开发流程;      3)自定义规则支持情况:应支持自定义安全规则,以适应特定业务场景和安全需求,如加白和调优; 2、使用便利性:    1)集成性:应具备与其他开发工具(如CI/CD管道)的集成能力;    2)自动化能力:应支持触发自动化扫描,减少人为干预,提高扫描效率。 至于其他相近的指标,如误报率、漏报率等,也是在关注范围内。不过与检出率紧密相关,从正向指标来看选取检出率即可。此外在做POC时,建议:不要只看工具在一些知名漏洞靶场上的表现,最好结合真实的生产系统进行测试。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SDL与DevSecOps有何异同? 如何在不同企业实施SDL? SAST误报太高,如何解决? SDL需要哪些人参与? 在devops中做开发安全,会遇到哪些问题? 如何实施安全需求? 安全需求,有哪些来源? 安全需求怎么实现自动化? 实施安全需求,会遇到哪些难题? 安全需求和安全设计有何异同及关联? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 有哪些威胁建模工具? 如何开始或实施威胁建模? 威胁建模和架构安全评审,有何异同? 编码阶段,开展哪些安全活动? 如何选择静态代码扫描(SAST)工具? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 如何制定一份有用的开发安全规范? SDL 24/100问:如何做到开发安全规范的有效实施? 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

Managing Common and AI-Based Application Dependencies During a Migration

Netscout
6 months 1 week ago
Applications, like stars that form constellations, need each other—they’re interdependent. During migration, however, this dependence can sometimes be a service’s greatest strength and weakness. Modern applications are complex, often consisting of multiple interconnected components, each with its own set of...
Anthony Cote

Giving NIST Digital Identity Guidelines a Boost: Supplement for Incorporating Syncable Authenticators

NIST | Cybersecurity Insights
6 months 1 week ago
We all need supplements sometimes. Whether it’s a little extra vitamin C during flu season or some vitamin D during the dark days of Winter. When used correctly, supplements help our body adjust to the changing conditions around us. Similarly, we are applying this same concept for the first time to our NIST SP 800-63B, Digital Identity Guidelines: Authentication and Lifecycle Management. Today, we published a supplement that provides interim guidance for agencies seeking to make use of ‘syncable authenticators’ ( for example, passkeys) in both enterprise-facing and public-facing use cases
Ryan Galluzzo

雷神众测漏洞周报2024.4.15-2024.4.21

雷神众测
6 months 1 week ago
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

Managed ad