中科天齐软件原生安全

摘要： 当前，DevOps尚未成为DevSecOps，因此DevOps不安全，很多人都在讨论它，但很少有企业真正掌握它。那么，是什么导致的DevSecOps采用率如此之低? 关于DevSecOps，总结来看，人们认知中的这5个误区，对采用DevSecOps并实施存在一定阻碍。 误区一：DevSecOps是由 阅读全文

摘要： 本文主要为了助力企业有效防范软件安全漏洞，提升网络安全防护能力，本期主题为第五十期：可达的assertion的相关介绍。 01 什么是可达的assertion? 程序包含一个可以被攻击者触发的assert()或类似语句，这将导致应用程序退出或其他不必要的严重行为。 assertion(断言)在软件开 阅读全文

摘要： 本文旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。 final修饰符(关键字)，若类被声明为final，意味着它不能再派生出新的子类，不能作为父类被继承。因此一个类不能既被声明为abstract，又被声明为final。将变量或方法声明为final，可以保证它们在使用中 阅读全文

摘要： 本文旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为依赖referer字段进行身份鉴别的相关介绍。 01 什么是依赖referer字段进行身份鉴别? HTTP请求中的referer字段可以很容易地修改，因此不是身份鉴别检查的有效方法。 根据HTTP协议，在HT 阅读全文

摘要： 本期主题为会话固定(CWE-384: Session Fixation)漏洞的相关介绍。 一、什么是会话固定? 对用户进行身份鉴别并建立一个新的会话时没有让原来的会话失败。 二、会话固定漏洞的构成条件有哪些? 当用户成功验证而应用程序不更新cookie时，这个时候就存在会话固定漏洞。 HTTP的无状 阅读全文

摘要： 在一个类中，非静态成员变量对每一个对象都会有一个特定的值，在初始化非静态变量的时候是不分配内存的，只有创立对象后才会分配，而且不同对象之间的同名非静态变量是可以不同的;当用static修饰变量，一个类的所有对象都共享这个属性，若不加final，当一个对象对static变量修改的时候，这个类的所有对象 阅读全文

摘要： Java有两种类型的异常：已检查和未检查。 已检查的异常：编译器要求你必须处置的异常，代码还没运行，编译器就会检查你的代码，会不会出现异常，要求你对可能出现的异常必须做出相应的处理。 未检查的异常：编译器不要求强制处置的异常，不会在编译的时候检查，一一去检查会使得工作变得更加繁琐，只能在运行时才能检 阅读全文

摘要： 对于硬编码密码，Immunity公司威胁情报负责人曾表示，这项常见的开发者漏洞不仅广泛存在，而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门，尽管该公司否认硬编码密码是后门，称这个漏洞是一个管理身份认证问题，但还是非常可疑。倘若攻击者利用此漏洞，可以直接获取 阅读全文

摘要： C语言中的指针机制使得它灵活高效，但由于指针操作不当产生的动态内存错误也有很多，比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(NullPointer Dereference)。 一、什么是空指针解引用? 如果一个指针变量的值为NULL，解引用这个指针时，会导致程序崩溃( 阅读全文

摘要： 什么是密码分组链接模式未使用随机初始化矢量? 在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算法容易受到字典攻击。 什么是CBC模式? CBC模式的全称是Cipher Block Chaining模式(密文分组链接模式)，之所以叫这个名字，是因为密文分组像链条一样相互连接在一起。在C 阅读全文