安全乐观主义

23 篇文章
14 人订阅

全部文章

Ramos

web服务也需防范勒索行为来袭

想一下近年来安全行业比较火爆的勒索软件的技术原理,自从WannaCry类漏洞算起,大都是利用永恒之蓝漏洞配合通过smb弱口令进行传播,通过对主机重要数据...

6130
Ramos

基于“BucketShock”漏洞的远程管理工具

背景和启发难点和收益工具介绍被控端:服务端:Q&A工具的重要性项目github地址: 背景和启发

13520
Ramos

可信计算和可信赖计算的渊源

看到业界在谈论可信计算时,将任何微软做的事情都称为可信计算,其实这里面发展过程很复杂,历史的交叉结合翻译的错误颇有故事,微软做的一些事情和可信计算既有区...

10910
Ramos

SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序

Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作...

8710
Ramos

基层安全管理者需要具备的素质

最近各家公司又到了年中评估的阶段,各位自评时一定在苦思冥想工作如何梳理成体系,有人洋洋洒洒确写不到重点,有的苦于“没啥数据写的,都是日常工作”。如何用中...

4310
Ramos

基于元数据提取的渗透测试案例

背景MITRE ATT&CK™测试过程元数据提取citrix通道写poc提交漏洞参考资料

8610
Ramos

软件安全构建成熟度模型 (BSIMM) 介绍

这声“啊???...”是工作中经常遇到的情况。我们作为安全从业人员必须知道没有度量就没有运营,曾经知道我们的思路是Microsoft’s SDL和Syn...

12820
Ramos

供应链安全系列-攻击编译阶段(一)

让我们再次回顾下安全从业人员为了努力做好软件安全,在运营阶段做了什么事情。

6820
Ramos

RSAC2019创新沙盒大赛公司shiftleft介绍

本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置,测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。Shi...

7810
Ramos

SOFA-Hessian反序列漏洞

笔者注意到https://github.com/alipay/sofa-hessian 提到了安全相关:

12220
Ramos

JNI技术绕过rasp防护实现jsp webshell

想到rasp这类工具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。java技术栈中的jni的原理是使用java调用c、...

7720
Ramos

【技术分享】赛门铁克邮件网关重置密码漏洞

赛门铁克邮件网关10.6.6之前的所有版本,开启了重置密码功能(默认开启),可以伪造用户身份直接登录前后台。

8820
Ramos

【技术分享】Solr DataImportHandler组件漏洞

DataImportHandler是一个可选但使用广泛的模块,默认不启用,用于从数据库和其他源中提取数据,它有一个特性即整个DIH配置可以来自一个请求的“dat...

6430
Ramos

浅谈块存储的安全配置

我们已经多次关注亚马逊S3、阿里云oss这类对象存储的安全性问题,比如Bucket的权限管理,上传文件的xss问题、AK\SK的保护。如果说对象存储Ob...

10230
Ramos

使用方舟编译器检查Fastjson OOM问题

通过介入编译期间进行安全检查是类似于Facebook infer类的产品,为什么要这么做呢?源代码安全检查工具粗略分为两个大的流派,一个是类似于cover...

9230
Ramos

威胁建模系统教程-简介和工具(一)

很多人对威胁建模这项活动抱有陌生感,什么是威胁?什么是建模?和安全威胁情报是不是有关?和架构安全分析(Architecture Risk Analysi...

14310
Ramos

代码审计工具Fortify 17.10及Mac平台license版本

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进...

46520
Ramos

GitHub安全最佳实践

Github 类的代码平台是个研发和安全人员的大宝库,阿里云效平台的代码权限事件历历在目,密码泄露到公开代码平台的事件层出不穷,为企业内外部的各种源代码...

8710
Ramos

【技术分享】Bitbucket|gitlab 参数注入漏洞

漏洞研究的工作价值编号漏洞简介漏洞详情分析工作原理思路构造poc是否可以RCE?漏洞影响:修复方案参考资料:漏洞研究的工作价值

11930
Ramos

供应链安全:安全建设中的第三方组件依赖问题

读者们可否有信息回答这个问题:"作为安全负责人,你知道公司使用和开发的应用中使用的开源组件都是最新的,已经安装了所有的重要安全补丁?"答案一定是窘迫的,...

6610

扫码关注云+社区

领取腾讯云代金券