摘要:
DevSecOps资讯汇编 第十期 DevSecOps + "DevSecOps生死抉择:自动化应用安全测试工具 " + 文章总结了目前devsecops的关注点,安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰。同时总结一些遇到的瓶颈: + 应用安全测试在CI/CD软件开发周期中的 阅读全文
摘要:
1. Java反序列化漏洞学习笔记 @author:alkaid "1. Java反序列化漏洞学习笔记" "1.1. 序列化与反序列化" "1.1.1. 基本概念" "1.1.2. 应用场景" "1.1.3. 漏洞成因" "1.1.4. Java序列化数据格式" "1.1.4.1. magic 用于 阅读全文
摘要:
文中内容可能不涉及MAC OS, MAC OS需要自行类比。 网络通信 网络通信数据的数据包基本上如下: 网络设备<->网卡<-> 操作系统 <-> 应用 在操作系统层面用到最多的就是TCP/UDP,使用socket来实现。 处于那个位置就决定了能抓到什么样的协议包, 至于能不能还原出上层的通信的协 阅读全文
摘要:
DevSecOps资讯汇编 第九期 DevSecOps + "DevSecOps生死抉择:自动化应用安全测试工具 " + 文章总结了目前devsecops的关注点,安全测试工具和安全控制过程能够很好的适应开发人员,而不是背道而驰。同时总结一些遇到的瓶颈: + 应用安全测试在CI/CD软件开发周期中的 阅读全文
摘要:
DevSecOps资讯汇编 第八期 DevSecOps + "A framework for securing software update systems | 软件安全更新框架 TUF " + 软件安全更新框架 TUF。用于解决软件更新可能面对的威胁,链接页面为该框架的威胁建模结论 + "WHY 阅读全文
摘要:
软件安全策略 @author:alkaid 前文 + 见 软件安全策略 上 正文 对抗中间人 背景 + 在前文中提到的三大基石策略——身份认证、访问控制和会话管理,在通信过程都涉及到与远程服务器交换秘密信息,同时在实际的业务过程中,也包含了大量的个人隐私信息。 + 如果这些信息被窃取,可能会对社会、 阅读全文
摘要:
软件安全策略 @author:alkaid 背景 + 我想作为一个信息安全从业者,无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。把这些漏洞进行简单分类可能能够得到几十类漏洞,当然几乎所有的漏洞类型在 "common Weakniss Enumeration" 都有相应的描述 阅读全文
摘要:
DevSecOps资讯汇编 第七期 2019年12月11日 由于各种原因以及收录文章质量下降,暂停定期更新,改为不定期更新 + "How SREs and Automation Can Save Your Security Infrastructure | SRE(Site Reliability 阅读全文
摘要:
DevSecOps资讯汇编 第六期 2019年11月27日 + "Docker Security Fundamentals and Best Practices | Docker安全基础和最佳实践 " + 文章总结了docker常见的风险点,1.docker镜像的安全性,在使用镜像相关的技术过程中如 阅读全文
摘要:
DevSecOps资讯汇编 第五期 2019年11月13日 + "DevOps KPI — Chapter 3 — MTTD and MTBF | DevOps KPI " + 该系列文章主要介绍了在devops过程中采用的一些指标,在目前安全行业的背景下,确实需要一些结果性的指标能让安全工作的效果 阅读全文