摘要:
一、简介 最近的Log4J漏洞(CVE-2021-44228)正造成网络大乱,其影响力不亚于早期的HeartBleeding漏洞。2.0-beta9 ~ 2.14.1版本的Apache Log4j2均存在改漏洞,可以说直接影响了大部分基于Java的应用。该漏洞最早被阿里云安全团队发现并验证,随即被A 阅读全文
摘要:
随着漏洞的数量和复杂性的增加,组织正在努力管理和缓解安全缺陷。 MOVEit文件传输服务、Log4Shell 和 Citrix Bleed 中的软件缺陷是近年来被利用的最引人注目的漏洞之一,但它们只占造成广泛损害的 CVE 总数的一小部分。 CVE的数量每年都在稳步增长,SecurityScorec 阅读全文
摘要:
在不断发展的软件开发世界中,安全性变得越来越重要。应用程序现在更加复杂和互连,这意味着存在许多潜在的漏洞入口点。这些缺陷可能隐藏在软件的深处,在造成严重问题之前通常不会被注意到。软件物料清单 (SBOM) 在这里可以发挥作用。SBOM作为用于创建软件应用程序的所有组件、库和模块的详细清单,在软件供应 阅读全文
摘要:
在当今的数字环境中,敏捷性至关重要。但公司如何在不影响安全性的情况下实现这种速度呢?借助正确的策略和工具,组织可以实现快速、安全的交付管道。 1. 自动化安全性以实现速度和一致性 自动化是DevSecOps实践的基石。通过自动化执行安全任务,组织可以保持持续交付所需的速度和一致性,不会因为人工干预而 阅读全文
摘要:
缓冲区溢出漏洞是一种常见的安全漏洞,发生在程序尝试向预分配内存空间填充数据时,超出其预定大小,进而覆盖了不应被修改的数据区域。这种漏洞通常发生在输入验证不足的情况下,攻击者可能会利用它来注入恶意代码、改变程序流程甚至获取系统控制权。例如,在处理用户输入的字符串时,如果开发人员没有正确检查输入长度,就 阅读全文
摘要:
注入攻击指的是针对注入漏洞的任何类型的攻击——注入漏洞是一大类网络安全漏洞,其中包括几个严重的应用程序安全风险。尽管攻击向量种类繁多,但注入攻击的共同点是攻击者能够通过未经验证的用户输入将有效负载插入已执行的应用程序代码中。根据具体的漏洞和攻击目标,注入可能涉及数据库查询、JavaScript代码、 阅读全文
摘要:
对于企业来说,代码库是其宝贵的资产。然而目前勒索软件即服务 (RaaS)攻击以 CI/CD 管道为目标,劫持或破坏代码已成为一种趋势。首先来看下典型的勒索软件生命周期。 感染:攻击者通常通过恶意依赖项、脚本漏洞或受损的构建服务器渗透到系统中。 横向移动:他们暗中探索网络,寻找关键资源和代码存储库。 阅读全文
摘要:
不安全反序列化是一种针对 Web 应用程序和 API 的许多攻击链的一部分的漏洞,。易受攻击的应用程序将在不验证数据的情况下加载数据,从而允许攻击者操纵反序列化过程并执行恶意代码。虽然不安全反序列化并不总是作为独立漏洞报告,但可能会对网络安全造成严重后果,包括远程代码执行 (RCE)、拒绝服务 (D 阅读全文
摘要:
什么是静态代码分析 静态代码分析在代码非运行时环境中,解析代码以了解其结构,并应用预定义的规则和模式来检测潜在问题。相较于运行时检测的动态分析,静态代码分析可以在开发周期的早期进行检测,改进代码质量增强安全性。 静态代码分析工具检测原理 静态分析的本质是建立程序的一个状态模型,分析程序是如何在这些状 阅读全文
摘要:
随着应用程序部署方式和环境的更改不断变化,加上且网络攻击变得越来越复杂和频繁,每年执行一次安全测试来了解组织的安全漏洞已经不够。如果不集成持续的测试,组织很可能面临合规问题或暴露潜在的安全漏洞,从而来带安全风险及经济损失。 通过以下5个步骤,可以在组织中采用和实施持续安全测试。 第 1 步:改变思维 阅读全文
摘要:
软件供应链包含多个环节,如开发人员、基础设施组件、GitHub存储库等。而企业的软件供应链是否安全,取决于其最薄弱的环节。随着构建的软件复杂性以及对第三方组件的依赖增加,软件供应链中的潜在风险也在逐渐增大。一旦其中包含漏洞或缺陷就可能带来重大风险。 软件供应链风险的类型 第三方组件和开源库中的漏洞: 阅读全文