什么是SAST,什么是 DAST?SAST(静态应用程序安全测试)是一种白盒测试方法,它直接检查应用程序源代码,可以在编码阶段查找已知/未知的安全漏洞。DAST(动态应用程序安全测试)是一种黑盒测试方…
根据SDLC的不同阶段,有不同的方法来确保应用程序和网络安全。一些标准方法包括:设计评审此阶段通常包括威胁建模实践,安全团队在此阶段审查应用程序的设计和体系结构,在开始编码过程之前检查安全缺陷。代码审…
勒索软件是当今组织面临严重的网络安全威胁。勒索病毒感染组织的方式之一是通过DevOps管道——Kaseya攻击就是一个很好的例子。企业正在过渡到DevSecOps工作流程,来确保软件更安全。勒索软件攻…
跨站脚本(XSS)和跨站请求伪造(CSRF),它们将恶意脚本注入目标系统,以进一步利用技术栈或窃取用户数据。什么是 XSS 和 CSRF?CSRF和XSS都是客户端攻击,它们滥用同源策略,利用web应…
什么是远程代码执行攻击?RCE 攻击包括通过使用系统某个级别的漏洞在系统中注入和执行恶意代码。这允许攻击者在系统中执行命令、窃取、损坏、加密数据等。RCE 攻击有多危险?RCE攻击的影响可能很大,具体…
没有什么能消除所有的错误,在编写的代码中也是如此。平均而言,所有代码都有错误。其中一些错误影响较小,有些会导致意外提前终止,少数会导致资源消耗失控。一些错误会导致安全漏洞,让用户做一些意想不到的事情,…
应用程序测试是一个有助于确保软件应用程序质量和安全的过程,无论应用程序是用于移动设备还是桌面设备。在测试过程可用于发现缺陷和漏洞,以及评估应用程序的整体安全状况。可以对应用程序执行多种类型的测试,最流…
MITRE分享了影响软件的25个常见和危险的缺陷。软件弱点是指在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。它们可能会使正在运行的系统遭受攻击,从而使威胁行为者能…
什么是注入攻击?注入攻击针对注入漏洞——这是一种非常广泛的网络安全漏洞,其中包括一些严重的应用程序安全风险。在OWASP的2021年十大风险中,注入是web应用安全的第三大风险。尽管攻击载体种类繁多,…
CI/CD代表持续集成和持续交付/持续部署。也就是说,CI部分处理如何在不同阶段将代码与不同的分支合并,CD部分处理如何将构建的应用程序部署到部署服务器中。在为软件开发工作流程选择CI/CD 服务器时…
DevOps通过引入更具协作性的开发环境并弥合开发人员和运营人员之间的差距,彻底改变了软件的开发和部署方式。同时确保满足消费者或市场需求的灵活性。但是,最好在组织中实施适当的DevOps生命周期,以充…
美国国家标准与技术研究院 (NIST) 更新了解决软件供应链风险的网络安全指南,用于管理供应链中的风险,供应链攻击正成为威胁参与者关注的重点。NIST在一份声明中说:“它鼓励组织不仅考虑他们正在考虑使…
一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时,使用了错误的运算符,例如当应使用equals()方法代替时,使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使用“==…
一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配,这就是一个错误,布尔表达式应该被修复。二、表达式永假/永真缺陷的构成条…