中科天齐软件原生安全

摘要： 一、什么是CSRF漏洞? CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，例如以你的名义发送邮件或消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 CSRF现状：CSRF这种攻击 阅读全文

摘要： 不夸张地说，只要有计算机网络的地方就有RSA算法，非对称加密算法的特点是加密秘钥和解密秘钥不同，秘钥分为公钥和私钥，用私钥加密的明文，只能用公钥解密，用公钥加密的明文，只能用私钥解密。 RSA非对称加密可以用来数据加密及数字签名和身份认证。非对称加密算法的优点是安全性高，并且算法强度复杂，安全性依赖 阅读全文

摘要： 这篇文章主要为大家简单讲解违反信任边界缺陷漏洞的相关介绍。 一、什么是违反信任边界? 违反信任边界漏洞是指数据从不受信任的一边移到受信任的一边却未经验证。违反信任边界漏洞在CWE中被编号为CWE-501: Trust Boundary Violation 二、违反信任边界漏洞的构成条件有哪些? 当程 阅读全文

摘要： 这篇文章主要介绍空密码缺陷漏洞，空密码缺陷在CWE中编号为CWE-258：Empty Passwordin Configuration File。早在2017年，苹果MacOS的Sierra就出现过类似漏洞问题， 它允许任何人在root账户中输入一个空白密码或任意字符串作为密码即可进入系统。未授权的 阅读全文

摘要： 这篇文章主要为大家简单介绍在运算过程中出现除数有可能为零缺陷漏洞的相关信息，并该如何解决。除数有可能为零缺陷在CWE中被编号为CWE-369：Divide By Zero。 一、除数可能为零缺陷 01 什么是除数有可能为零缺陷? 运算操作时，除法或求余数操作容易受到除数有可能为零的影响。因此，必须在 阅读全文

摘要： 由于CWE对源代码缺陷描述的准确性和权威性，源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration，通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE(Common Vulnerabilities & 阅读全文

摘要： 本文旨在科普软件安全相关知识，帮助初级网络安全人员了解代码缺陷，助力企业有效防范软件安全漏洞，提升网络安全防护能力。 ▲ 加密强度不足缺陷漏洞 一、什么是加密强度不足? 大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据，但强度不足以达到所需的保护级别。 阅读全文

摘要： 什么是不受控制的资源消耗缺陷漏洞?它又能带来哪些严重后果?让我们一起往下看。 不受控制的资源消耗缺陷漏洞 一、什么是不受控制的资源消耗缺陷? 软件无法正确控制有限资源的分配和维护，从而使参与者无法影响所消耗的资源量，最终导致可用资源的耗尽。有限的资源包括内存，文件系统存储，数据库连接池条目和CPU。 阅读全文

摘要： 本期主题为抛出通用异常缺陷漏洞和字符串比较缺陷漏洞的相关介绍，欢迎大家一起探讨！ ▲ 抛出通用异常缺陷漏洞 抛出过于宽泛的异常会导致复杂的错误处理代码，这些代码很可能包含安全漏洞。 声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如，Java的异常机 阅读全文

摘要： 为了帮助信息安全入门人员更快的了解软件安全相关的知识，帮助企业更加有效的防范软件安全漏洞，提升网络安全防护能力，接下来为大家简单介绍未使用的变量缺陷漏洞和通用异常捕获声明缺陷漏洞两个常见的缺陷漏洞，欢迎大家一起探讨！ ▲ 未使用的变量缺陷漏洞 一、什么是未使用的变量缺陷? 变量已赋值但从未使用过，这 阅读全文