中科天齐软件原生安全

摘要： 应用程序安全测试(AST)通过各种工具、流程扫描应用程序以发现潜在安全问题。静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法，它们遵循不同的方法，在软件开发生命周期的不同阶段扫描应用程序代码及软件。 SAST遵循白盒测试方法来分析源代码、字节码和二进制文件，以识 阅读全文

摘要： 随着当前网络攻击的频繁化和复杂化，网络安全需要从防守攻击转向主动防御，从发生攻击后再进行处理转向更加严谨地保护组织的数据和基础设施。在没有采用适当的预防措施时，网络攻击者可以轻而易举地利用公司Web应用程序、移动应用程序及API等中的漏洞。 静态应用程序安全测试通常由自动化工具进行测试，随着安全左移 阅读全文

摘要： 跨站点请求伪造是一种攻击，在这种攻击中，对手可以代表受害用户提交恶意请求。在具有跨站点请求伪造(CSRF)漏洞的应用程序中，恶意用户可以提交未经授权的命令，因为应用程序信任源用户帐户。CSRF攻击也被称为会话骑乘、XSRF、会话固定、恶意链接或一键式攻击，主要针对导致服务器状态改变的合法请求，使攻击 阅读全文

摘要： 在一个标准的web服务器目录中，根文件夹是当用户在地址栏上输入一个网站的域名时可以访问的公共访问文件夹。根目录包含站点的索引文件以及到系统中使用的所有其他文件和目录的路径。这些文件只能被服务器端代码或web应用程序本身访问。 攻击者可以读取易受攻击的应用程序中的这些文件和目录，以访问密码文件、应用程 阅读全文

摘要： 根据美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。不用说，在软件开发阶段消除这些缺陷可以减少当今许多组织面临的网络安全风险。要做到这一点，有许多技术可以帮助开发人员在软件上线前发现这些问题，这些工具或技术包括SAST、D 阅读全文

摘要： 漏洞威胁管理至关重要，因为网络犯罪是一种持续存在的全球风险。网络犯罪分子愿意利用软件中的任何漏洞来访问网络和设备。对使用该软件的软件开发人员和组织的影响可能很严重。用户必须处理攻击的结果，例如赎金或数据盗窃，并且还可能面临法律后果、经济损失和声誉受损。 开发人员应该测试他们的产品，评估漏洞，并在发布 阅读全文

摘要： 安全漏洞是应用程序堆栈中的缺陷，攻击者在网络攻击期间利用这些缺陷获得未经授权的访问。常见的攻击模式包括利用这些安全风险在目标系统上安装恶意软件、访问/修改敏感数据和运行恶意代码。在软件编码期间，通过静态应用安全测试可以发现由编码问题导致的缺陷，便于开发人员及时修改。因此，CVE通常为安全人员所熟知。 阅读全文

摘要： Common Weakness Enumeration ( CWE ) 数据库是一个社区开发的项目，它提供组织技术堆栈的软件和硬件中的常见漏洞目录。该数据库包括对常见弱点的详细描述并指导安全编码标准。 什么是常见缺陷枚举? 通用缺陷枚举(CWE)数据库列出了任何硬件或软件产品的网络弱点。CWE识别并 阅读全文

摘要： 当合法用户被拒绝访问他们有权访问的网络、系统、设备或其他资源时，就会发生拒绝服务。这包括他们的电子邮件、电子银行账户、公共在线服务等。 拒绝服务可以由一种被称为拒绝服务攻击(DoS)的网络攻击导致，其明确目的就是达到这种效果。 DoS 攻击定义 拒绝服务攻击是故意向机器或网络发送虚假流量，以使它们不 阅读全文

摘要： 跨站脚本(XSS)和跨站请求伪造(CSRF)，它们将恶意脚本注入目标系统，以进一步利用技术栈或窃取用户数据。 什么是 XSS 和 CSRF? CSRF和XSS都是客户端攻击，它们滥用同源策略，利用web应用程序和受害用户之间的信任关系。XSS和跨站脚本攻击允许攻击者破坏合法用户与任何易受攻击的应用程 阅读全文