中科天齐软件安全
安全脉搏

85

文章

45

积分

2

收藏

1

关注

1

粉丝

WuKong软件源代码静态检测工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞与逻辑漏洞,帮助用户提升抵御网络攻击。

至今

2022-5-20
安全建设

软件供应链安全 

越来越多的威胁行为者将供应链攻击视为进入企业网络的切入点。2017年,攻击者破坏了Avast的一个软件构建系统,并使用该公司的CCleaner软件传播恶意软件。2019年,一个名为“钡”的威胁参与者闯…

2022-5-18
安全建设

DevOps生命周期的基本指南 

DevOps通过引入更具协作性的开发环境并弥合开发人员和运营人员之间的差距,彻底改变了软件的开发和部署方式。同时确保满足消费者或市场需求的灵活性。但是,最好在组织中实施适当的DevOps生命周期,以充…

2022-5-7
安全建设

NIST 更新网络安全供应链风险管理指南 

美国国家标准与技术研究院 (NIST) 更新了解决软件供应链风险的网络安全指南,用于管理供应链中的风险,供应链攻击正成为威胁参与者关注的重点。NIST在一份声明中说:“它鼓励组织不仅考虑他们正在考虑使…

2022-3-30
代码审计

使用错误的运算符进行字符串比较缺陷漏洞 

一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时,使用了错误的运算符,例如当应使用equals()方法代替时,使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使用“==…

2022-3-29
代码审计

表达式永假/永真缺陷缺陷漏洞 

一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配,这就是一个错误,布尔表达式应该被修复。二、表达式永假/永真缺陷的构成条…

2022-3-28
代码审计

代码缺陷解读:通用异常捕获声明缺陷漏洞 

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是…

2022-3-25
代码审计

代码缺陷解读:使用过时方法缺陷漏洞 

一、什么是使用过时方法缺陷?代码使用了不推荐使用的或已经过时的方法,这表明该代码没有得到积极地审查或维护。随着编程语言的发展,由于以下原因,方法有时会过时:1、语言进步2、更深入理解如何安全有效地执行…

2022-3-24
代码审计

可达的assertion漏洞会造成哪些后果? 

本文主要为了助力企业有效防范软件安全漏洞,提升网络安全防护能力,本期主题为第五十期:可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert…

2022-3-23
代码审计

finalize()方法声明为public缺陷构成条件有哪些? 

final修饰符(关键字),若类被声明为final,意味着它不能再派生出新的子类,不能作为父类被继承。因此一个类不能既被声明为abstract,又被声明为final。将变量或方法声明为final,可以…

2022-3-22
代码审计

Switch中省略了break语句导致的代码缺陷 

本期主题为Switch中省略了break语句导致的代码缺陷的相关介绍。01什么是Switch中省略了break语句导致的代码缺陷?break语句通常用在循环语句和switch语句中。当break用于s…

2022-3-18
代码审计

日志伪造漏洞 

本期主题为日志伪造漏洞的相关介绍。01什么是日志伪造漏洞?应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以根据需要手动执行,…

2022-3-17
代码审计

LDAP注入漏洞 

本期主题为LDAP注入漏洞的相关介绍。01什么是LDAP注入漏洞?LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,提供访问目录数据库方法的…

2022-3-16
代码审计

敏感信息的明文传输漏洞 

本期主题为敏感信息的明文传输漏洞的相关介绍。一、什么是敏感信息的明文传输漏洞?程序在通信时以明文形式传输敏感或重要数据,这些数据可能被未经授权的攻击者嗅探。简单点来说就是当我们在网站上面提交敏感数据到…

2022-3-15
代码审计

使用已破解或危险的加密算法导致的漏洞 

本期主题为使用已破解或危险的加密算法导致漏洞的相关介绍。一、什么是使用已破解或危险的加密算法导致的漏洞?使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,…

2022-3-10
代码审计

对象只定义了Equals和Hashcode方法之一的漏洞 

本期主题为违规的对象模型:对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞?也就是同一个对象没有…