契约与公平
每年关于护网不结账的故事都是很快乐的,甚至于我们这种非中介的去年都弄了一身狗血......
Aggregator
eXotic Visit includes XploitSPY malware – Week in security with Tony Anscombe
10 months 1 week ago
Almost 400 people in India and Pakistan have fallen victim to an ongoing Android espionage campaign called eXotic Visit
CreateRCE ? Yet Another Vulnerability in CreateUri
10 months 1 week ago
Ben Barnea
活动预告 | CodeWisdom 智能汽车基础软件学术报告系列 第1期:智能汽车基础软件技术杂谈
10 months 1 week ago
探讨智能汽车基础软件技术的发展路径、现状、问题以及潜在趋势等。
API Cyberattacks: A Growing Threat for Organizations in Latin America
10 months 1 week ago
Learn about the growing threat of API cyberattacks and their effect on industries across Latin America.
Helder Ferr�o
Nmap cheatsheet: every command you need in 2024
10 months 1 week ago
Use our Nmap cheatsheet for essential commands including host discovery, network and port scanning, and firewall evasion.
Responding to a cyber incident – a guide for CEOs
10 months 1 week ago
Guidance to help CEOs in public and private sector organisations manage a cyber incident.
阴影之下:揭示API威胁的攻击趋势
10 months 1 week ago
API成最大的攻击向量,2023年29%的网络攻击针对API。
每周勒索威胁摘要
10 months 1 week ago
1.Lockbit团伙公布入侵Crinetics制药公司
2.Blackbasta勒索团伙公布新的受害公司
3.RA Group勒索团伙公布物流公司Gimex全部数据
记一次敏感文件权限维持
10 months 1 week ago
在本篇文章当中,让我们跟随团队成员T4x0r的脚步,深入学习权限维持的相关骚姿势~
XZ-Utils后门事件过程及启示
10 months 1 week ago
XZ-Utils是一款开源的无损压缩命令行工具,是用C语言编写的跨平台工具,可以用于类Unix系统和Windows系统。这款工具目前是大多数Linux发行版本的默认工具之一。
Akamai?s Perspective on April?s Patch Tuesday 2024
10 months 1 week ago
Akamai Security Intelligence Group
中国网络安全行业全景图(第十一版)发布
10 months 1 week ago
2024年4月12日,安全牛第十一版《中国网络安全行业全景图》正式发布。
渗透入门靶场大盘点
10 months 1 week ago
写给新手朋友入门,有了靶场丰富自己思路,也巩固自己的技术当然新手老手都可以玩玩。这期盘点渗透靶场,排名不分前后还有其他靶场欢迎留言提出!
当Nashorn失去括号:非典型Java命令执行绕过
10 months 1 week ago
昨天『代码审计』知识星球里有同学向我提了一个有趣的问题:
简单来说就是,在Java的Nashorn脚本中,如果不允许使用小括号(、)和中括号[、],如何执行任意命令?
0x01 浏览器JavaScript无括号XSS我们知道,Nashorn脚本本质上是JavaScript,而无括号的XSS Payload其实是一个老问题了。因为JavaScript在执行函数的时候需要使用括号,所以解决问...
phithon
Importance of Scanning Files on Uploader Applications
10 months 1 week ago
Delve into the crucial practice of file scanning within uploader applications, and learn defensive measures to safeguards against malicious threats like malware.
Fernando Cardoso
Cybersecurity Decluttered: A Journey to Consolidation
10 months 1 week ago
Learn how far cybersecurity has come from scattered resources to consolidation the future.
David Ng
SDL 18/100问:编码阶段,开展哪些安全活动?
10 months 2 weeks ago
纵观软件安全开发周期,编码阶段的安全活动是最好实现技术管控,最容易发现代码中的漏洞,最容易做自动化安全扫描的。经过实践之后,认为可以在该阶段开展:
1、编码安全规范:根据业务开发语言和历史发现的安全问题,量身定制编码安全规范,在SDL的体系文件中定位为三级规范性文件,做到有据可循;
2、编码安全培训:对编码安全规范、安全扫描工具及扫描的结果研判方法进行技术分享,配合考试等方式提升开发人员的安全意识;
3、静态代码扫描:对自研代码进行安全扫描,一般都能实现自动化触发、扫描结果推送到开发邮箱,有的甚至在IDE上开发时就检测漏洞,提醒开发人员及时修复漏洞;
4、开源组件扫描:针对第三方组件(开源或自研),也要进行漏洞扫描和协议合规性分析,同样可以实现自动化触发和扫描,但处理扫出的问题就比较棘手了;
5、引入安全SDK:其实不一定是具体的SDK,有的是改良过的开发框架或库,有的是全局filter,尤其是在技术栈统一的公司更可能落地。在开发编码时,开发人员正确使用安全SDK,从源头解决常见的web漏洞。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SDL 1/100问:SDL与DevSecOps有何异同?
SDL 2/100问:如何在不同企业实施SDL?
SDL 3/100问:SAST误报太高,如何解决?
SDL 4/100问:SDL需要哪些人参与?
SDL 5/100问:在devops中做开发安全,会遇到哪些问题?
SDL 6/100问:如何实施安全需求?
SDL 7/100问:安全需求,有哪些来源?
SDL 8/100问:安全需求怎么实现自动化?
SDL 9/100问:实施安全需求,会遇到哪些难题?
SDL 10/100问:安全需求和安全设计有何异同及关联?
SDL 11/100问:设计阶段应开展哪些安全活动?
SDL 12/100问:有哪些不错的安全设计参考资料?
SDL 13/100问:安全设计要求怎么做才能落地?
SDL 14/100问:有哪些威胁建模方法论?
SDL 15/100问:有哪些威胁建模工具?
SDL 16/100问:如何开始或实施威胁建模?
SDL 17/100问:威胁建模和架构安全评审,有何异同?
2、SDL最初实践系列
开篇
安全需求
安全设计
安全开发
安全测试
安全审核
安全响应
How to Dramatically Simplify PCI DSS Compliance
10 months 2 weeks ago
Ravit Greitser
Ransomware Groups Experiment with a New Tactic: Re-Extortion
10 months 2 weeks ago
As we regularly observe in this blog, ransomware is devious and endlessly inventive. It’s this ability to find new variations on the same basic extortion template that has made it the most successful commercial form of cybercrime yet invented. Excepting the occasional technical hack (including a talent for spotting weaknesses everyone else has overlooked), most […]
The post Ransomware Groups Experiment with a New Tactic: Re-Extortion appeared first on Ransomware.org.
John E. Dunn