安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的...
CTFCON 2023|PPT下载
designed by Sec3 首届CTFCON于12月03日在北京亦庄京东总部落幕,我们现在将演讲议题PPT进行公开,同时对于CTFCON有任何建议,我们十分欢迎发送邮件至root@ctf...
SDL(安全开发生命周期)
0x0 前言 最近在读《互联网企业安全高级指南》里面的一章SDL有感,结合工作经验之谈,遂写此文。 0x01 SDL概念 当我们谈到SDL(Security Development Lifecycle...
Blackhat Europe 2023 | 百度安全揭秘多平台NPU背后的安全风险
近年来,随着大模型、多模态等技术的发展,人工智能技术在各个领域的重要性与日俱增,其攻击面和安全影响也在不断扩大,负责处理大量数据和复杂计算的NPU(嵌入式神经网络处理器)成为智能设备中不可或缺的一部分...
华云安马维士:云原生架构下的攻击面持续安全验证体系详解
日前,第十一届全球云计算大会·中国站(Cloud Connect China 2023)在宁波举办。在云计算技术论坛上,华云安副总裁马维士受邀发表“云原生架构下的攻击面持续安全验证体系”主题演讲,围绕...
为什么防御者应该拥抱黑客心态
当今的安全领导者必须管理由于互连设备、云服务、物联网技术和混合工作环境而不断变化的攻击面和动态威胁环境。对手不断引入新的攻击技术,并非所有公司都拥有内部红队或无限的安全资源来掌控最新威胁。最重要的是,...
科恩网联汽车信息安全研究成果发布于安全顶会IEEE S&P 2024 - 对车载攻击面的重新审视与思考
背景●摘要近年来,随着现代车辆技术的快速发展,网联汽车的攻击面(Attack Surface)和车载网络结构(In-Vehicle Network)都变得更加复杂。目前,已出台多项网联汽车信息安全标准...
CVE-2023-4357-Chrome XXE 文件读取
再见的意义是约定还是告别Is the meaning of goodbye a promise or a farewell?Chrome出了个新的XXE漏洞,看了官方的说明,Chrome使用的是Lib...
SOC 2025:安全运营中心的未来
内容摘要如今,运行安全运营中心 (SOC) 非常残酷。攻击面扩大随着数据迁移到 SaaS、应用程序迁移到容器以及基础架构迁移,呈指数级增长到云。SOC 分析师使用的工具正在改进,但速度还不够快。似乎对...
攻击面管理技术洞察:换一个视角看安全建设
前言近年来,云计算、大数据等新一代信息技术与实体经济加速融合,产业数字化转型迎来新的发展浪潮。数字化在为企业提质降本增效的同时,也进一步放大了企业面临的安全风险,使企业网络安全建设变得“内忧外患”。“...
物联网安全-22重现对 Trezor One 的故障注入攻击
概述在过去的四五年里,围绕加密货币钱包的安全性,已经有很多公共工作。这些研究大部分都属于故障注入领域,故障注入是破坏嵌入式系统的艺术/科学,足以导致未定义的行为发生。目标是找到一个故障,允许修改设备的...
【云安全】Dashboard 攻击面
皓月当空,明镜高悬文末有福利~0x00 前言众所周知,如果只是一味的REST接口或者命令行话的操作方式,就会变相的提高操作门槛,并且不会有很好的呈现方式,所以就有了web ui的方式,也就是Das...
30