11 2018 档案

个人成长|荣获CNVD年度最有价值漏洞奖
摘要:本文共750+字,预计阅读2-3分钟。 前几天,很荣幸受主办方邀请,还拿了CNVD的一个“年度最有价值漏洞奖”,说一说,这几天的故事吧。 11月20号,意外收到一个会议邀请,当时还比较诧异,印象中我在CNVD并未提交过多少漏洞。思虑良久,确认接下来没有比较重要的工作安排,还是决定提前一天去帝都看看。 阅读全文
posted @ 2018-11-30 18:39 Bypass 阅读(1114) 评论(2) 推荐(0) 编辑
【安全开发】Perl安全编码规范
摘要:多年以来,Perl已经成为用于系统管理和WebCGI开发的功能最强的编程语言之一(几乎可以使用Perl做任何功能的程序)。但其扩展应用,即作为Internet上CGI的开发工具,使得它经常成为Web服务器上的攻击目标。 另外,大多数CGI脚本有着比一般用户更高的权限,导致它更容易受攻击。下面列举了一 阅读全文
posted @ 2018-11-30 15:50 Bypass 阅读(553) 评论(0) 推荐(0) 编辑
【安全开发】C/C++安全编码规范
摘要:C本质上是不安全的编程语言。例如如果不谨慎使用的话,其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是,由于其灵活性、快速和相对容易掌握,它是一个广泛使用的编程语言。下面是针对开发安全的C语言程序的一些规范。 1.1.1 缓冲区溢出 避免使用不执行边界检查的字符串函数,因为 阅读全文
posted @ 2018-11-30 15:49 Bypass 阅读(3666) 评论(0) 推荐(0) 编辑
【安全开发】IOS安全编码规范
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-7-IOS% 阅读全文
posted @ 2018-11-30 15:47 Bypass 阅读(2130) 评论(0) 推荐(0) 编辑
【安全开发】Android安全编码规范
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-6-Andr 阅读全文
posted @ 2018-11-30 15:46 Bypass 阅读(2845) 评论(0) 推荐(0) 编辑
【安全开发】python安全编码规范
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-4-pyth 阅读全文
posted @ 2018-11-30 15:45 Bypass 阅读(2778) 评论(0) 推荐(0) 编辑
【安全开发】java安全编码规范
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java 阅读全文
posted @ 2018-11-30 15:44 Bypass 阅读(11897) 评论(0) 推荐(0) 编辑
【安全开发】PHP安全编码规范
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-2-php% 阅读全文
posted @ 2018-11-30 15:43 Bypass 阅读(1869) 评论(0) 推荐(0) 编辑
JSONP 劫持漏洞实例
摘要:0x01 Jsonp简介 Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因为同源策略。 同源策略,它是由Netscape提出的 阅读全文
posted @ 2018-11-15 14:58 Bypass 阅读(9619) 评论(1) 推荐(0) 编辑
【应用安全】微软的安全开发生命周期(SDL)
摘要:0x01 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 0x02 SDL流程框架 自2004年起,SDL就成为Microsoft全公司的计划和强制施行政策, 阅读全文
posted @ 2018-11-14 18:57 Bypass 阅读(7395) 评论(1) 推荐(0) 编辑
【应用安全】用户密码安全存储建议
摘要:本文作者:微软SDL(安全开发生命周期)团队资深安全项目经理Bryan Sullivan 原文转载:http://news.mydrivers.com/1/215/215225.htm 安全小测验:存储机密信息最安全的办法是什么? a) 利用 256 位密钥的强对称加密算法(例如 AES)进行加密。 阅读全文
posted @ 2018-11-14 17:14 Bypass 阅读(687) 评论(0) 推荐(0) 编辑
PDF XSS
摘要:漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面 阅读全文
posted @ 2018-11-13 13:08 Bypass 阅读(10259) 评论(0) 推荐(0) 编辑
JSON XSS
摘要:漏洞实例一: 1、在更新用户信息,修改联系电话,抓包绕过前端20个字符限制,Payload为 111<img src=1 onerror=alert(1)> 2、更新后,访问json 3、已隐去相关信息,json形式大约是这样子: 4、在页面找到输出点,成功弹窗。 案例二: <script>var 阅读全文
posted @ 2018-11-08 16:09 Bypass 阅读(4966) 评论(0) 推荐(1) 编辑
宜信漏洞管理平台--洞察搭建
摘要:0x01 平台介绍 洞察是宜信安全部用来对公司内部系统所出现的安全漏洞进行线上全生命周期管理的漏洞管理平台。 主要由3部分组成: 应用系统资产管理 漏洞生命周期管理 安全知识库管理 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。 漏洞生命周期管理:对公司 阅读全文
posted @ 2018-11-06 15:19 Bypass 阅读(3726) 评论(0) 推荐(0) 编辑
ISO27001信息安全管理体系
摘要:0x00 前言 初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。 0x01 ISO27001简介 ISO/ 阅读全文
posted @ 2018-11-05 18:59 Bypass 阅读(32696) 评论(1) 推荐(2) 编辑

点击右上角即可分享
微信分享提示