Aggregator

On April 12th, 2024, Palo Alto Networks disclosed CVE-2024-3400, a critical command injection vulnerability in PAN-OS software versions 10.2, 11.0, and 11.1, allowing unauthenticated attackers to run arbitrary code with root privileges on affected firewalls when GlobalProtect gateway and device telemetry are active.

针对某黑产组织钓鱼攻击样本分析

静态代码分析的工具非常多，有开源或商业的，有国内、外之分，有基于关键字正则匹配、或AST语义分析、亦或IR/CFG的代码分析。不过从甲方安全建设的视角来看，首要考虑成本和效果，故提供以下几点建议： 1、根据公司技术栈选择工具，具体来说就是看主流开发语言，因为有的工具确实会对某个语言支持得更好，表现在高检出率（POC时尽量不要用知名漏洞靶场）； 2、破解版的SAST商业工具很少，但在国内却广泛传播着国外的某个破解工具，目前来看还有小范围更新规则库，个人研究或缺少预算的可以看看。但针对该情况，更推荐使用开源工具（不主张企业级用破解版，会带来麻烦）； 3、从检测效果来看，正则关键匹配方式明显是误报最高的，但在有的场景中比较好用，比如数据流中断、想要快速检出具体的某一类漏洞.时..故不应考虑技术是否先进，不要指望一个工具能解决所有问题。在工具链建设时，可以先主、然后不断的丰富不同原理但又能扫出漏洞的工具。 总的来说，要做好代码安全扫描，无论选择怎样的工具都会有一个前提：企业配备具备代码审计的人员，持续做开发安全运营。附静态代码分析工具大全（国外与开源版）：https://owasp.org/www-community/Source_Code_Analysis_Tools 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ SDL 18/100问：编码阶段，开展哪些安全活动？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

您有一份周报待查收......

最小化，最安全。

This week was HackSpaceCon 2024. It was the first time I attended and it was fantastic. The conference was at the Kennedy Space Center! Yes, right there and the swag and talks matched the world class location. The keynote “Buckle up! Let’s make the world a safer place” was by Dave Kennedy, who provided great insights on attacker strategies of the past and present, the importance of active threat hunting and challenges ahead.

欧盟技术主权的直接体现

幸福的原理

SRUM 被认为是取证信息的金矿，因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程阅读更多

每年关于护网不结账的故事都是很快乐的，甚至于我们这种非中介的去年都弄了一身狗血......

Almost 400 people in India and Pakistan have fallen victim to an ongoing Android espionage campaign called eXotic Visit

探讨智能汽车基础软件技术的发展路径、现状、问题以及潜在趋势等。

Learn about the growing threat of API cyberattacks and their effect on industries across Latin America.

Use our Nmap cheatsheet for essential commands including host discovery, network and port scanning, and firewall evasion.

Guidance to help CEOs in public and private sector organisations manage a cyber incident.

API成最大的攻击向量，2023年29%的网络攻击针对API。

1.Lockbit团伙公布入侵Crinetics制药公司 2.Blackbasta勒索团伙公布新的受害公司 3.RA Group勒索团伙公布物流公司Gimex全部数据