摘要: 软件安全是网络安全的基础部分,现如今网络攻击频繁而又出人意料,确保网络系统中软件安全的高透明度,无疑会使企业网安防御系统“如虎添翼”。 在当前网络安全已被企业格外重视的前提下,来自第三方安全状况不透明的软件为企业网络带来很大风险。或者可以说,大数据时代,用来产生、存储、使用“数据”的主体软件安全状况 阅读全文
posted @ 2021-10-22 10:30 中科天齐软件原生安全 阅读(210) 评论(0) 推荐(0) 编辑
摘要: 根据IBM2021年数据泄露成本报告显示,大型数据泄露事件平均成本已增长至4.01亿美元,系统中存在漏洞的敏感数据模块为网络犯罪分子提供盗取数据的“契机”。 现如今的移动应用程序领域,为用户提供个性化的体验是打败竞争对手的关键。但在创建这样定制化体验的过程中需要采集个人数据,考虑到当前《数据安全法》 阅读全文
posted @ 2021-10-15 11:17 中科天齐软件原生安全 阅读(155) 评论(0) 推荐(0) 编辑
摘要: 当前,DevOps尚未成为DevSecOps,因此DevOps不安全,很多人都在讨论它,但很少有企业真正掌握它。那么,是什么导致的DevSecOps采用率如此之低? 关于DevSecOps,总结来看,人们认知中的这5个误区,对采用DevSecOps并实施存在一定阻碍。 误区一:DevSecOps是由 阅读全文
posted @ 2021-10-13 10:53 中科天齐软件原生安全 阅读(66) 评论(0) 推荐(0) 编辑
摘要: 本文主要为了助力企业有效防范软件安全漏洞,提升网络安全防护能力,本期主题为第五十期:可达的assertion的相关介绍。 01 什么是可达的assertion? 程序包含一个可以被攻击者触发的assert()或类似语句,这将导致应用程序退出或其他不必要的严重行为。 assertion(断言)在软件开 阅读全文
posted @ 2021-07-02 10:40 中科天齐软件原生安全 阅读(197) 评论(0) 推荐(0) 编辑
摘要: 本文旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 final修饰符(关键字),若类被声明为final,意味着它不能再派生出新的子类,不能作为父类被继承。因此一个类不能既被声明为abstract,又被声明为final。将变量或方法声明为final,可以保证它们在使用中 阅读全文
posted @ 2021-07-01 10:59 中科天齐软件原生安全 阅读(85) 评论(0) 推荐(0) 编辑
摘要: 本文旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为依赖referer字段进行身份鉴别的相关介绍。 01 什么是依赖referer字段进行身份鉴别? HTTP请求中的referer字段可以很容易地修改,因此不是身份鉴别检查的有效方法。 根据HTTP协议,在HT 阅读全文
posted @ 2021-06-30 10:39 中科天齐软件原生安全 阅读(198) 评论(0) 推荐(0) 编辑
摘要: 本期主题为会话固定(CWE-384: Session Fixation)漏洞的相关介绍。 一、什么是会话固定? 对用户进行身份鉴别并建立一个新的会话时没有让原来的会话失败。 二、会话固定漏洞的构成条件有哪些? 当用户成功验证而应用程序不更新cookie时,这个时候就存在会话固定漏洞。 HTTP的无状 阅读全文
posted @ 2021-06-29 11:18 中科天齐软件原生安全 阅读(505) 评论(0) 推荐(0) 编辑
摘要: 在一个类中,非静态成员变量对每一个对象都会有一个特定的值,在初始化非静态变量的时候是不分配内存的,只有创立对象后才会分配,而且不同对象之间的同名非静态变量是可以不同的;当用static修饰变量,一个类的所有对象都共享这个属性,若不加final,当一个对象对static变量修改的时候,这个类的所有对象 阅读全文
posted @ 2021-06-28 10:42 中科天齐软件原生安全 阅读(108) 评论(0) 推荐(0) 编辑
摘要: Java有两种类型的异常:已检查和未检查。 已检查的异常:编译器要求你必须处置的异常,代码还没运行,编译器就会检查你的代码,会不会出现异常,要求你对可能出现的异常必须做出相应的处理。 未检查的异常:编译器不要求强制处置的异常,不会在编译的时候检查,一一去检查会使得工作变得更加繁琐,只能在运行时才能检 阅读全文
posted @ 2021-06-25 10:40 中科天齐软件原生安全 阅读(274) 评论(0) 推荐(0) 编辑
摘要: 对于硬编码密码,Immunity公司威胁情报负责人曾表示,这项常见的开发者漏洞不仅广泛存在,而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门,尽管该公司否认硬编码密码是后门,称这个漏洞是一个管理身份认证问题,但还是非常可疑。倘若攻击者利用此漏洞,可以直接获取 阅读全文
posted @ 2021-06-24 10:39 中科天齐软件原生安全 阅读(1616) 评论(0) 推荐(0) 编辑