北京大學專家:軟體供應鏈安全的風險和成因分析
■ 北京大學軟體工程國家工程研究中心 張世琨 馬森 高慶 孫永傑 由於軟體應用範圍不斷擴大,軟體安全已經不限於虛擬空間,直接威脅到物理空間的安全,而且,供應鏈中的任何問題都會導致嚴重的危害。降低軟體安
■ 北京大學軟體工程國家工程研究中心 張世琨 馬森 高慶 孫永傑 由於軟體應用範圍不斷擴大,軟體安全已經不限於虛擬空間,直接威脅到物理空間的安全,而且,供應鏈中的任何問題都會導致嚴重的危害。降低軟體安
摘要: 思科解決思科基礎許可證管理器中的SQL注入漏洞據悉,思科釋出了安全更新,以解決思科基礎許可證管理器(CiscoPrime License Manager)網頁框架程式碼中的安全漏洞,攻擊者可利用該漏洞
近年來,製造業和基建設施受到的攻擊日益增多——電力、天然氣、自來水,甚至核電裝置都受到了黑客多種的攻擊。不同於IT系統的安全問題,最大的威脅可能是商業業務的停滯以及資訊的洩露;OT環境一旦受到攻擊,就很有可能
Kubernetes 最近爆出特權升級漏洞,這是 Kubernetes 的首個重大安全漏洞。為了修補這個嚴重的漏洞,Kubernetes 近日推出了幾個新版本。 谷歌高階工程師 Jordan Liggit
本文主要針對的是我參加一個漏洞賞金計劃的過程中發現的NodeJS應用程式身份驗證繞過漏洞進行分析。我們將重點講述我所使用的方法,以便在遇到類似的Web介面(僅提供單一登入表單)時可以利用這種方法來尋找漏洞。
1、儲存型 XSS 儲存型XSS 是指應用程式通過Web請求獲取不可信賴的資料,在未檢驗資料是否存在XSS程式碼的情況下,便將其存入資料庫。當下一次從資料庫中獲取該資料時程式也未對其進行過濾,頁面
網路安全行業研究報告是掌握最新威脅的一種很好的方法,還能夠防止這些漏洞影響您對組織的控制。2018年11月釋出的研究涵蓋了IT風險的所有領域,包括身份、應用程式容器、漏洞披露以及全球威脅形勢本身。以下是本月釋出
前言 11月30日,萬豪酒店官方釋出訊息稱,多達5億人次預訂喜達屋酒店客人的詳細個人資訊可能遭到洩露。萬豪國際在調查過程中瞭解到,自2014年起即存在第三方對喜達屋網路未經授權的訪問,但公司直到2018年9
SINE安全公司在對phpcms2008網站程式碼進行安全檢測與審計的時候發現該phpcms存在遠端程式碼寫入快取檔案的一個SQL注入漏洞,該phpcms漏洞危害較大,可以導致網站被黑,以及伺服器遭受黑客的攻擊
11月30日,英國間諜機構政府通訊總部(GCHQ)及其資訊保安部門NCSC釋出了安全漏洞披露策略,概述了其是如何確定是否將漏洞追捕結果告知廠商的。 NCSC去年向微軟披露了 3 個漏洞,包括兩個 Wind
struts2從開發出來到現在,很多網際網路企業,公司,平臺都在使用apache struts2系統來開發網站,以及應用系統,這幾年來因為使用較多,被攻擊者挖掘出來的struts2漏洞也越來越,從最一開始S2-
圖片來源圖蟲:已授站長之家使用 站長之家(ChinaZ.com) 12月3日 訊息:近年來,校園貸問題越來越突出,不少學生為滿足虛榮心,貸款購買手機、名牌服飾等現象非常普遍。雖然我國已明令禁止校園貸,但一
含義 CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常
前言 近期,研究人員在WordPress的許可權處理機制中發現了一個安全漏洞,而這個漏洞將允許WordPress外掛實現提權。其中一個典型例子就是WooCommerce,該外掛是目前最熱門的一款電子商務外掛
*本文作者:cgf99,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。 前言 近日收穫一個字尾名為doc的word文件,檢視後其實是rtf格式文件。在測試環境開啟後發現有網路連線和執行程