首页
学习
活动
专区
工具
TVP
发布
您找到你想要的搜索结果了吗?
是的
没有找到

RSAC解读:面向数据的SaaS攻击案例

一、概述 在本次2022 RSAC会议中,来自Varonis公司的Matt Radolec分享了议题《Pain in the Apps — Three Attack Scenarios Attackers...通过Github&Slack窃取Salesforce数据 该场景介绍了攻击者通过钓鱼邮件获取受害者登录Github平台的cookie,在本地浏览器利用cookie登录Github平台,下载账户私有仓库的代码...,从代码中寻找到slack平台的凭证,从而横向移动至slack平台,然后在slack平台的频道中发送自定义的恶意salesforce应用程序,诱使用户安装,一旦成功安装,便可以控制用户的salesforce...账户,从salesforce中寻找敏感数据下载至本地,其攻击流程如图5所示: 图5 场景二攻击流 分析场景二的技术亮点: 该攻击流主要是将初始攻击对象转移至Github代码仓库,从Github仓库中寻找跟业务相关的敏感凭证...以防勒索软件、木马等恶意文件通过SaaS平台传播 - 企业应监控个人机上的软件安装,防止恶意软件的运行 - 时刻核查SaaS平台的权限配置、访问控制配置是否满足安全标准,避免重要数据如代码

86140

代码代码语言: Charj

去年,和公司的大佬讨论了一系列关于代码代码化,还记录了一些笔记。在那之后,我开始了各种尝试:如何将代码转变化代码。原先有一些思路,而后过了一年之后,慢慢地练习,又有了一些新的收获。...官方维护的代码仓库(grammars-v4)包含了大量的 Antlr 语法解析案例,可以找到市面上一些主流的和非主流的实现。 设计统一语言模型。即设计出一套能兼容不同语言语言模式。...引子 2:代码生成与 JavaPoet 在我们粗糙地完成了 Scie 之后,我开始思考着下一步:如何从 A 语言转换为 B 语言的时候,我从 JavaPoet 获取到了一些灵感。...而我们再回过到来看,编码语言本身也是一种中间表示,因为机器运行的是靠机器码。即,那句经典的话:代码是写给人看的。...由于项目涉及到一丁点的代码优化,所以我还阅读了一下那本《高级编译器设计与实现》,书中引入了 ICAN 这个中间语言。嗯,这就是已经被论证的结果了,不再需要我去论证它的必要性。

64620

RSAC2019创新沙盒大赛公司shiftleft介绍

安全DNA 是指对每个应用程序每个版本的源代码进行分析并提取安全相关的详细信息,包括漏洞,敏感数据,策略信息和编码错误。...,创新针对代码属性视图Code Property Graph (CPG)的设计查询语言(Read-Eval-Print-Loop(REPL),支持控制流分析、语法树、调用关系、依赖,目录接口、框架类(内置了自动标记框架的策略...)的分析,支持自定义查询语句和集成到CI,输出支持各种报文的结果,支持语言有java、c#和c、c++。...安装后启动分析,将目标代码提取生成CPG信息。可以配置过滤掉公共和开源组件代码。 ? 进入到主界面,准备执行查询语言: ? load刚才生成的cpg文件。 ?...可以看到漏洞信息可以在两个时间产出:第一阶段在分析时,上传编译好的代码在云端,分析源代码或者字节码得到CPG,获取初步白盒审计结果、页面路由、代码内敏感信息;第二阶段是通过javaagent的方式启动java

76010

RSAC创新沙盒十强出炉,这家SCA公司火了

引言近日,全球网络安全行业创新风向标RSAC创新沙盒公布了本年度入围十强的名单,软件供应链安全企业Endor Labs凭借基于依赖关系建立应用开发生命周期的解决方案获得了广泛关注。...依赖生命周期管理传统SCA工具的核心功能是对代码中引入的开源组件及它们的依赖关系进行盘点,形成SBOM清单,并在此基础上掌握代码中所有由开源组件依赖带来的漏洞风险。...依赖引入后,Endor Labs的工具会梳理代码中包含的所有的依赖情况并输出可视化的SBOM清单,同时会统计单个依赖被引入的次数,记录组织中最常用的依赖版本,便于减少依赖项的总量、控制依赖面。...下一步,需要多渠道收集开源漏洞情报,实时监控应用代码的开源风险,并根据SBOM进行风险自查,结合业务环境评估修复优先级,根据应用版本计划自行安排修复节奏。...RASP能结合应用的逻辑及上下文,以函数级的精度对访问应用系统的每一段代码进行检测,实时监控安全状况、记录及阻断攻击,而无需人工干预。

24620

Meta 标签使用详解

meta是html语言head区的一个辅助性标签。...2、定义页面的使用语言   这是meta标签最常见的功能,在制作网页时,我们在纯HTML代码下都会看到它,它起的作用是定义你网页的语言,当浏览者访问你的网页时,浏览器会自动识别并设置网页中的语言,如果你网页设置的是...下面就是一个具有代表性的例子:    该代码就表示将网页的语言设置成国标码...,即娱乐委员会的评级机构评定的,如果你需要评价自己的网站,可以连接到网站http://www.rsac.org/,按要求提交表格,那么RSAC会提供一段meta代码给你,复制到自己网页里就可以了。...下面就是一段代码的样例: <meta http-equiv=″PICS-Label″ content=′(PICS-1.1 ″http://www.rsac.org/ratingsv01.html″

86930
领券