雷神众测漏洞周报2024.4.15-2024.4.21
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
Aggregator
RASP:9大应用场景,20条选型Checklist
10 months ago
在用户比以往更注重应用安全的今天,如何保护应用程序免受威胁是当前组织迫切需要解决的问题。RASP与应用代码紧密耦合,使用上下文,无需黑名单或白名单就可检测威胁,是应用程序的最后一道防线。青藤自主研发的一款RASP产品将于4月25日正式发布!
安天移动一周威胁情报盘点(4月15日-4月22日)
10 months ago
近期威胁情报速览!
盘点:2024年2月移动设备威胁态势
10 months ago
移动木马家族活跃趋势统计
安全从业人员焦虑的几点看法
10 months ago
安全从业人员焦虑的几点看法
AI Agent工程化迭代指导及其设计模式的调研 - 郑瀚
10 months ago
AI Agent工程化迭代指导及其设计模式的调研
郑瀚
Nvtop-适用于NVIDIA、AMD和英特尔GPU的Linux任务监视器
10 months ago
Nvtop-适用于NVIDIA、AMD和英特尔GPU的Linux任务监视器
再见!爱因斯坦计划,网安态势感知迎来转型
10 months ago
是时候重新思考未来的网络安全态势感知系统了
Flutter 调试和发布版显示不同应用名及包名
10 months ago
Android更改应用的显示名称 我想在调试和发布版本中更改应用程序名称,因此 app/build.gradle 我像往常一样在 . build.gradle […]
root
SANS 2024 年威胁狩猎调查报告
10 months ago
第九年的威胁狩猎调查报告,对于了解威胁狩猎的发展趋势和接受程度很有帮助。
Grafana backend sql injection affected all version
10 months ago
Grafana backend sql injection affected all versionVuln Description
The open-source platform for monitoring and observability
to exploit this sql injection vulnerability, someone must use a valid account login to the grafana web backend, then send malicious POST request to /api/ds/query “rawSql” entry.
if attackers login to the grafana web backend, they can use a post request to /api/ds/query api, then they can modify the “rawSql” filed to execute Malicious sql strings leading to time-based blind sql injection vulnerability, then leak data from databases.
253
重磅福利|限时免费安全评估活动来啦!
10 months ago
网络安全是当今企业发展中不可忽视的重要环节,随着网络攻击手段的不断演进和监管政策的日益严格,企业面临着前所未有
火线安全2024年Q1精英榜:致敬网络安全守护者
10 months ago
随着2024年第一季度的落幕,我们迎来了新一季的网络安全专家排行榜。在这个数字化不断深入的时代,网络
签约|火线安全签约平安银行、阶跃星辰、Advance、Shoplazza等知名企业
10 months ago
在数字化时代,网络安全已成为企业不可或缺的核心竞争力之一。随着网络攻击手段的不断升级和多样化,企业对于专业安全服务的需求日益迫切。
情报速递20240422|FaCai钓鱼团伙正针对企事业单位发起攻击
10 months ago
抽丝剥茧代码属性图CPG-第五弹:CPG中的函数摘要
10 months ago
CPG中提供了函数摘要(Function Summary)的方式来自定义数据流,从而解决漏报问题。
漏洞修复时如何确保业务不受影响?| 总第242周
10 months ago
您有一份周报待查收......
当我们谈威胁狩猎时在谈些什么|证券行业专刊2·安全村
10 months ago
威胁狩猎在安全运营工作中开展的关键要素
网络安全类任务大模型微调个人推荐
10 months ago
大模型哲学:能prompt就prompt,能few shot就few shot,实在不行在微调。
SDL 24/100问:如何做到开发安全规范的有效实施?
10 months 1 week ago
开发安全团按照实际情况制定好安全规范后,下一步就是要求开发人员参照规范编写代码。在企业研发安全的建设过程中,要想做好开发安全规范落地,至少需要完成以下三件事:
1、组织评审,然后发布:开发安全规范通常是由安全团队发起,此时出发点、编写视角很难考虑到研发,所以一定要邀请开发经理或架构师进行评审,达成一致后走发布流程在全公司发布,做到合理的有法可依;
2、培训赋能,广而告之:组织开发团队进行培训,并结合考试,可对开发人员当时的掌握情况进行评估。经过大量实践后发现,组织经常写漏洞的开发、通过安全事件推进相关开发复盘编码安全问题,更能解少编码阶段引入漏洞的问题;
3、技术闭环,靠谱之道:开发人员即使经过了培训和考试,但在实际编程过程中往往会因为习惯和技术栈问题,忽视了规范而去写漏洞。若是能将开发安全规范内容落实到SAST工具上进行检测,尤其是在开发语言比较统一的环境中,规范的落地才算得上获得保障。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SDL与DevSecOps有何异同?
如何在不同企业实施SDL?
SAST误报太高,如何解决?
SDL需要哪些人参与?
在devops中做开发安全,会遇到哪些问题?
如何实施安全需求?
安全需求,有哪些来源?
安全需求怎么实现自动化?
实施安全需求,会遇到哪些难题?
安全需求和安全设计有何异同及关联?
设计阶段应开展哪些安全活动?
有哪些不错的安全设计参考资料?
安全设计要求怎么做才能落地?
有哪些威胁建模方法论?
有哪些威胁建模工具?
如何开始或实施威胁建模?
威胁建模和架构安全评审,有何异同?
编码阶段,开展哪些安全活动?
如何选择静态代码扫描(SAST)工具?
如何选择开源组件安全扫描(SCA)工具?
SCA工具扫描出很多漏洞,如何处理?
SCA工具识别出高风险协议,如何处理?
SDL 23/100问:如何制定一份有用的开发安全规范?
2、SDL最初实践系列
开篇
安全需求
安全设计
安全开发
安全测试
安全审核
安全响应