摘要: 对于硬编码密码,Immunity公司威胁情报负责人曾表示,这项常见的开发者漏洞不仅广泛存在,而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门,尽管该公司否认硬编码密码是后门,称这个漏洞是一个管理身份认证问题,但还是非常可疑。倘若攻击者利用此漏洞,可以直接获取 阅读全文
posted @ 2021-06-24 10:39 中科天齐软件原生安全 阅读(1627) 评论(0) 推荐(0) 编辑
摘要: C语言中的指针机制使得它灵活高效,但由于指针操作不当产生的动态内存错误也有很多,比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(NullPointer Dereference)。 一、什么是空指针解引用? 如果一个指针变量的值为NULL,解引用这个指针时,会导致程序崩溃( 阅读全文
posted @ 2021-06-23 11:02 中科天齐软件原生安全 阅读(6428) 评论(0) 推荐(0) 编辑
摘要: 什么是密码分组链接模式未使用随机初始化矢量? 在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算法容易受到字典攻击。 什么是CBC模式? CBC模式的全称是Cipher Block Chaining模式(密文分组链接模式),之所以叫这个名字,是因为密文分组像链条一样相互连接在一起。在C 阅读全文
posted @ 2021-06-22 10:26 中科天齐软件原生安全 阅读(245) 评论(0) 推荐(0) 编辑
摘要: 一、什么是CSRF漏洞? CSRF跨站请求伪造,主要表现为:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,例如以你的名义发送邮件或消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF现状:CSRF这种攻击 阅读全文
posted @ 2021-06-21 10:19 中科天齐软件原生安全 阅读(640) 评论(0) 推荐(0) 编辑
摘要: 不夸张地说,只要有计算机网络的地方就有RSA算法,非对称加密算法的特点是加密秘钥和解密秘钥不同,秘钥分为公钥和私钥,用私钥加密的明文,只能用公钥解密,用公钥加密的明文,只能用私钥解密。 RSA非对称加密可以用来数据加密及数字签名和身份认证。非对称加密算法的优点是安全性高,并且算法强度复杂,安全性依赖 阅读全文
posted @ 2021-06-18 10:15 中科天齐软件原生安全 阅读(573) 评论(0) 推荐(0) 编辑
摘要: 这篇文章主要为大家简单讲解违反信任边界缺陷漏洞的相关介绍。 一、什么是违反信任边界? 违反信任边界漏洞是指数据从不受信任的一边移到受信任的一边却未经验证。违反信任边界漏洞在CWE中被编号为CWE-501: Trust Boundary Violation 二、违反信任边界漏洞的构成条件有哪些? 当程 阅读全文
posted @ 2021-06-17 11:12 中科天齐软件原生安全 阅读(1434) 评论(0) 推荐(0) 编辑
摘要: 这篇文章主要介绍空密码缺陷漏洞,空密码缺陷在CWE中编号为CWE-258:Empty Passwordin Configuration File。早在2017年,苹果MacOS的Sierra就出现过类似漏洞问题, 它允许任何人在root账户中输入一个空白密码或任意字符串作为密码即可进入系统。未授权的 阅读全文
posted @ 2021-06-16 11:05 中科天齐软件原生安全 阅读(639) 评论(0) 推荐(0) 编辑
摘要: 这篇文章主要为大家简单介绍在运算过程中出现除数有可能为零缺陷漏洞的相关信息,并该如何解决。除数有可能为零缺陷在CWE中被编号为CWE-369:Divide By Zero。 一、除数可能为零缺陷 01 什么是除数有可能为零缺陷? 运算操作时,除法或求余数操作容易受到除数有可能为零的影响。因此,必须在 阅读全文
posted @ 2021-06-15 12:03 中科天齐软件原生安全 阅读(422) 评论(0) 推荐(0) 编辑
摘要: 由于CWE对源代码缺陷描述的准确性和权威性,源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE(Common Vulnerabilities & 阅读全文
posted @ 2021-06-11 11:12 中科天齐软件原生安全 阅读(120) 评论(0) 推荐(0) 编辑
摘要: 本文旨在科普软件安全相关知识,帮助初级网络安全人员了解代码缺陷,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 ▲ 加密强度不足缺陷漏洞 一、什么是加密强度不足? 大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据,但强度不足以达到所需的保护级别。 阅读全文
posted @ 2021-06-10 14:13 中科天齐软件原生安全 阅读(629) 评论(0) 推荐(0) 编辑