摘要: 一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
posted @ 2021-12-15 17:30 中科天齐软件原生安全 阅读(1055) 评论(0) 推荐(0) 编辑
摘要: 静态代码检测工具是现代软件开发流程中不可或缺的一环。它可以在代码编写过程中自动检测出潜在的错误和漏洞,帮助开发者在测试和上线前尽早发现和解决问题,从而提高代码质量和开发效率。 静态代码检测工具主要有以下几个特点: 一、自动化检测 静态代码检测工具不需要运行软件,可以直接自动化分析源代码,检测出一些常 阅读全文
posted @ 2023-06-27 11:09 中科天齐软件原生安全 阅读(67) 评论(0) 推荐(0) 编辑
摘要: Web应用程序安全是指为保护Web应用程序免受潜在攻击而采取的措施。包括保护Web应用程序免受可能损害其功能、安全性和数据完整性的外部威胁的策略和流程。 有效的 Web 应用程序安全策略包括识别潜在漏洞、评估其相关风险以及实施防攻击的措施。 Web 应用程序中的常见漏洞 攻击者经常利用的几个常见漏洞 阅读全文
posted @ 2023-06-26 15:17 中科天齐软件原生安全 阅读(20) 评论(0) 推荐(0) 编辑
摘要: 跨站点脚本 (XSS) 是一个应用程序安全漏洞,允许攻击者将恶意代码注入网站或移动应用程序。自2000年代以来,XSS 缺陷就已经为人所知并进行了研究。当恶意用户输入一段代码作为输入数据时,就会发生 XSS 攻击。恶意代码最终被解释为 DOM 标记并在受害者的浏览器上运行。随着他们的代码在受害者的浏 阅读全文
posted @ 2023-06-01 14:58 中科天齐软件原生安全 阅读(116) 评论(0) 推荐(0) 编辑
摘要: 从汽车到飞机,从医疗设备到工业控制系统,许多现代化产品都需要由软件驱动,安全问题已经成为制造商关注的重点问题。软件缺陷不仅会通过引入可被攻击者利用的漏洞影响安全性,还会通过影响产品的功能操作来影响安全性。 此外,产品安全还会产生财务财务影响。例如,在开发中修复漏洞的成本比在测试中低10倍,比在生产中 阅读全文
posted @ 2023-03-27 14:46 中科天齐软件原生安全 阅读(65) 评论(0) 推荐(0) 编辑
摘要: DevSecOps分别代表开发、安全和运营。这是一个新的工作流程,涉及将安全实践集成到所有DevOps流程中。 DevSecOps在开发过程的早期进行安全实践和实施。这就创造了一种文化,即安全是每个人的责任,而不仅仅是安全团队的责任。 将安全性构建到软件交付生命周期的每个阶段,可实现持续集成和高速开 阅读全文
posted @ 2023-01-06 14:17 中科天齐软件原生安全 阅读(220) 评论(0) 推荐(0) 编辑
摘要: DAST 和 SAST 工具采用不同的方法来测试应用程序安全性,在软件生命周期的不同阶段工作,并且具有不同的优势和局限性。 SAST 工具在源代码中查找缺陷漏洞,通常在开发早期。 DAST 工具扫描正在运行的应用程序中的漏洞,通常在开发后期和生产中使用。 应用程序安全性的全面方法包括SAST和DAS 阅读全文
posted @ 2022-12-30 15:51 中科天齐软件原生安全 阅读(285) 评论(0) 推荐(0) 编辑
摘要: 正确的应用程序安全测试工具可以改善企业安全态势和开发工作流程。如今,应用程序安全从一开始就内置在整个软件生命周期中,即使是具有成熟开发实践的组织也需要自动化工具来在复杂、快速变化的环境中成功地保护他们的软件。以下比较了三个广泛使用的应用程序安全测试工具:静态应用程序安全测试(SAST),动态应用程序 阅读全文
posted @ 2022-12-08 16:20 中科天齐软件原生安全 阅读(93) 评论(0) 推荐(0) 编辑
摘要: 应用程序安全测试(AST)通过各种工具、流程扫描应用程序以发现潜在安全问题。静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法,它们遵循不同的方法,在软件开发生命周期的不同阶段扫描应用程序代码及软件。 SAST遵循白盒测试方法来分析源代码、字节码和二进制文件,以识 阅读全文
posted @ 2022-11-24 14:34 中科天齐软件原生安全 阅读(179) 评论(0) 推荐(0) 编辑
摘要: 随着当前网络攻击的频繁化和复杂化,网络安全需要从防守攻击转向主动防御,从发生攻击后再进行处理转向更加严谨地保护组织的数据和基础设施。在没有采用适当的预防措施时,网络攻击者可以轻而易举地利用公司Web应用程序、移动应用程序及API等中的漏洞。 静态应用程序安全测试通常由自动化工具进行测试,随着安全左移 阅读全文
posted @ 2022-11-17 11:02 中科天齐软件原生安全 阅读(39) 评论(0) 推荐(0) 编辑
摘要: 跨站点请求伪造是一种攻击,在这种攻击中,对手可以代表受害用户提交恶意请求。在具有跨站点请求伪造(CSRF)漏洞的应用程序中,恶意用户可以提交未经授权的命令,因为应用程序信任源用户帐户。CSRF攻击也被称为会话骑乘、XSRF、会话固定、恶意链接或一键式攻击,主要针对导致服务器状态改变的合法请求,使攻击 阅读全文
posted @ 2022-10-28 11:46 中科天齐软件原生安全 阅读(355) 评论(0) 推荐(0) 编辑