勒索行为示例锁定个人中心滥用服务隐私泄露诱骗恐吓防范建议 想一下近年来安全行业比较火爆的勒索软件的技术原理,自从WannaCry类漏洞算起,大都是利用永恒之蓝漏洞配合通过sm...
发简信
IP属地:新疆
-
web服务也需防范勒索行为来袭
-
JNI技术绕过rasp防护实现jsp webshell
背景 原理 使用 技术要点 实战使用 其他 背景 笔者近日看到了这样一篇文章: 那些年我们堵住的洞 – OpenRASP纪实 想到rasp这类工具是基于java、php运行期...
-
基层安全管理者需要具备的素质
最近各家公司又到了年中评估的阶段,各位自评时一定在苦思冥想工作如何梳理成体系,有人洋洋洒洒确写不到重点,有的苦于“没啥数据写的,都是日常工作”。如何用中长期计划来实现综合能力...
-
【翻译】Tricorder-谷歌如何建立程序分析的生态系统
I. 介绍II. 背景A. 开发流程B. 谷歌的程序分析III. 谷歌程序分析理念A. 0误报率B. 授权用户做出贡献C. 改进数据驱动的可用性D. 工作流集成是关键E. 项...
-
GitHub安全最佳实践
写在前面 GitHub安全最佳实践列表 1.不要将凭证作为代码/配置存储在GitHub中。2.删除文件中的敏感数据和GitHub历史记录3.限制访问控制4.增加SECURIT...
-
【翻译】英国HCSEC对华为产品安全方面的调查报告
译者的话目前越来越多的企业推出国际化的产品和服务,而国际市场已经被发达国家用专利、法律法规、准入制度所占领,中国企业家是国际市场的 “后来者”,“走出去” 要承受更多、更大的...
-
威胁建模系统教程-简介和工具(一)
背景 很多人对威胁建模这项活动抱有陌生感,什么是威胁?什么是建模?和安全威胁情报是不是有关?和架构安全分析(Architecture Risk Analysis)什么关系?...
-
供应链安全系列-攻击编译阶段(一)
背景 让我们再次回顾下安全从业人员为了努力做好软件安全,在运营阶段做了什么事情。 我们从上层推动网络安全意识教育、商业行为准则要求以及人力资源政策与流程,通过培训和宣导持...
-
RSAC2019创新沙盒大赛公司shiftleft介绍
概念: 本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置,测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。ShiftLef...
-
【翻译】Google在构建静态代码分析工具方面的经验教训
软件bug耗费开发者和软件公司大量的时间和金钱。 以2014年为例,被广泛使用的SSL协议实现中的一个(“goto fail”)bug导致可接受无效的SSL证书,另外一个与日...
-
书评-《企业级自动化代码安全扫描实战》
近日百度安全应急响应中心发布了《企业级自动化代码安全扫描实战》,读者可以管中窥豹来实例了解软件安全中白盒扫描领域在互联网公司的落地情况、理解该业界的技术方向趋势和进展、查漏补...