Aggregator

RASP:9大应用场景,20条选型Checklist

青藤云安全
6 months 1 week ago
在用户比以往更注重应用安全的今天,如何保护应用程序免受威胁是当前组织迫切需要解决的问题。RASP与应用代码紧密耦合,使用上下文,无需黑名单或白名单就可检测威胁,是应用程序的最后一道防线。青藤自主研发的一款RASP产品将于4月25日正式发布!

Grafana backend sql injection affected all version

fdvoid0's blog
6 months 1 week ago
Grafana backend sql injection affected all versionVuln Description

The open-source platform for monitoring and observability

to exploit this sql injection vulnerability, someone must use a valid account login to the grafana web backend, then send malicious POST request to /api/ds/query “rawSql” entry.

if attackers login to the grafana web backend, they can use a post request to /api/ds/query api, then they can modify the “rawSql” filed to execute Malicious sql strings leading to time-based blind sql injection vulnerability, then leak data from databases.

253

SDL 24/100问:如何做到开发安全规范的有效实施?

我的安全视界观
6 months 1 week ago
开发安全团按照实际情况制定好安全规范后,下一步就是要求开发人员参照规范编写代码。在企业研发安全的建设过程中,要想做好开发安全规范落地,至少需要完成以下三件事: 1、组织评审,然后发布:开发安全规范通常是由安全团队发起,此时出发点、编写视角很难考虑到研发,所以一定要邀请开发经理或架构师进行评审,达成一致后走发布流程在全公司发布,做到合理的有法可依; 2、培训赋能,广而告之:组织开发团队进行培训,并结合考试,可对开发人员当时的掌握情况进行评估。经过大量实践后发现,组织经常写漏洞的开发、通过安全事件推进相关开发复盘编码安全问题,更能解少编码阶段引入漏洞的问题; 3、技术闭环,靠谱之道:开发人员即使经过了培训和考试,但在实际编程过程中往往会因为习惯和技术栈问题,忽视了规范而去写漏洞。若是能将开发安全规范内容落实到SAST工具上进行检测,尤其是在开发语言比较统一的环境中,规范的落地才算得上获得保障。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SDL与DevSecOps有何异同? 如何在不同企业实施SDL? SAST误报太高,如何解决? SDL需要哪些人参与? 在devops中做开发安全,会遇到哪些问题? 如何实施安全需求? 安全需求,有哪些来源? 安全需求怎么实现自动化? 实施安全需求,会遇到哪些难题? 安全需求和安全设计有何异同及关联? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 有哪些威胁建模工具? 如何开始或实施威胁建模? 威胁建模和架构安全评审,有何异同? 编码阶段,开展哪些安全活动? 如何选择静态代码扫描(SAST)工具? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? SDL 23/100问:如何制定一份有用的开发安全规范? 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

Managed ad