中科天齐软件原生安全

摘要： 漏洞威胁管理至关重要，因为网络犯罪是一种持续存在的全球风险。网络犯罪分子愿意利用软件中的任何漏洞来访问网络和设备。对使用该软件的软件开发人员和组织的影响可能很严重。用户必须处理攻击的结果，例如赎金或数据盗窃，并且还可能面临法律后果、经济损失和声誉受损。 开发人员应该测试他们的产品，评估漏洞，并在发布 阅读全文

摘要： 安全漏洞是应用程序堆栈中的缺陷，攻击者在网络攻击期间利用这些缺陷获得未经授权的访问。常见的攻击模式包括利用这些安全风险在目标系统上安装恶意软件、访问/修改敏感数据和运行恶意代码。在软件编码期间，通过静态应用安全测试可以发现由编码问题导致的缺陷，便于开发人员及时修改。因此，CVE通常为安全人员所熟知。 阅读全文

摘要： Common Weakness Enumeration ( CWE ) 数据库是一个社区开发的项目，它提供组织技术堆栈的软件和硬件中的常见漏洞目录。该数据库包括对常见弱点的详细描述并指导安全编码标准。 什么是常见缺陷枚举? 通用缺陷枚举(CWE)数据库列出了任何硬件或软件产品的网络弱点。CWE识别并 阅读全文

摘要： 当合法用户被拒绝访问他们有权访问的网络、系统、设备或其他资源时，就会发生拒绝服务。这包括他们的电子邮件、电子银行账户、公共在线服务等。 拒绝服务可以由一种被称为拒绝服务攻击(DoS)的网络攻击导致，其明确目的就是达到这种效果。 DoS 攻击定义 拒绝服务攻击是故意向机器或网络发送虚假流量，以使它们不 阅读全文

摘要： 跨站脚本(XSS)和跨站请求伪造(CSRF)，它们将恶意脚本注入目标系统，以进一步利用技术栈或窃取用户数据。 什么是 XSS 和 CSRF? CSRF和XSS都是客户端攻击，它们滥用同源策略，利用web应用程序和受害用户之间的信任关系。XSS和跨站脚本攻击允许攻击者破坏合法用户与任何易受攻击的应用程 阅读全文

摘要： MITRE分享了影响软件的25个常见和危险的缺陷。 软件弱点是指在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。 它们可能会使正在运行的系统遭受攻击，从而使威胁行为者能够控制受影响的设备，获取敏感信息，或触发拒绝服务条件。 为了创建此列表，MITRE在分析了NIS 阅读全文

摘要： Fastjason是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于其序列化jason文件速度快且中文文档非常全面，所以为国内广大开发人员所应用。 fastjson是目前java语言中 阅读全文

摘要： 在IT流行语的字母组合中，DevSecOps是一个很容易让人混淆的缩写。 DevSecOps是一个特定工具吗? 是否有DevSecOps流程或最佳实践? DevSecOps 应该成为内部 IT 部门的优先事项，还是更广泛的公司理念? 如果一个公司已经利用了DevOps的流程和技术栈，那么它应该升级到 阅读全文

摘要： 什么是SAST? SAST(Static Application Security Testing)是构建安全代码的基础。在谈到左移安全性时，SAST是一个解决方案，其中包含一些强大的工具可以集成到软件开发生命周期中。 开发人员或许都熟悉静态应用程序安全测试 (SAST) 工具，并且每天都会使用集成 阅读全文

摘要： 一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱，其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞，可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证，随即被A 阅读全文