对大多数公司来说,网络安全方面的建设在最开始的时候,是一个被动的过程。公司往往在经历漏洞报告、入侵等安全事件之后,才会对安全加以关注,然后执行修复、应急响应。这些安全事件倒逼着公司加强对安全的关注和投...
04月07日156 views评论渗透测试
网络安全
安全建设到底要不要上SDL(安全开发流程)?
04月07日156 views评论渗透测试
网络安全
04月07日156 views评论渗透测试
网络安全
Keen,China Team China Dream
先回味一则旧闻:在上个月的Pwn2Own 2014黑客大赛上,来自中国的Keen Team以15秒攻破Mac OS X10.9.2和20秒攻破Windows 8.1的成绩夺取了冠军。 如果我...
04月07日安全新闻43 views评论sdl
team
sdl一点感悟
SDL里,规则是核心,其他都是开发。 重点是静态代码扫描,数据流算法才是核心,那么为啥用字节码呢?字节码携带的信息显然超过ast,而且方便构建basic blocks。 还有cfg不等于调用栈,好多小...
02月18日安全闲碎35 views评论sdl
字节码
SDL工具之Shingle,一款支持多人协作实施威胁建模的微信小程序
Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作。 0x00 楔子 对于...
01月10日220 views评论sdl
安全
企业安全建设进阶
企业安全建设进阶上个月给朋友公司进行企业外训,这两天抽时间对相关内容进行了整理,发表在公众号。说是分享,其实更像是公司安全建设的一个阶段性总结和之前分享过的内容的汇总集合,希望关注、关心宜...
01月07日44 views评论安全建设
数据安全
实战中的那些视频安全(三)
概述不经意的细节可能是下一步研究的方向针对上文的key泄露工具开发过程中,发现官方的示例代码调用了fastjson的库。随即对平台进行测试挖掘与挖掘,不止做SDL要做SCA,在实战中通过收集到的信息推...
12月23日582 views评论fastjson
link
业务安全的上岸体历(-)
在甲方做业务SDL的几年,在落地方面也做了不少努力。一是得看着业务高P的脸色,二是得假装硬气的扮猪吃老虎,一路走来可谓是一把辛酸泪。 闲话不多扯,我们团队在SDL方向,针对公司现状进行威胁建模,进行了...
03月25日43 views业务安全的上岸体历(-)已关闭评论安全
审计
秦波:大型互联网应用安全SDL体系建设实践
近期,我们邀请资深安全专家在“金融业企业安全建设实践”微信群、实践2群、读者群,进行在线直播分享系列。本期我们邀请到的嘉宾是秦波。如需查阅更多嘉宾分享,请关注本公众号。 提示:本文有6479字,阅读大...
03月01日246 views评论sdl
安全
安全需求评审:业务研发团队该如何提交信息
数据安全的概念在近年来,越来越受企业重视,更多的是因为合规性的驱动,尤其是GDPR的巨额罚款,让企业开始愿意去投入更多的成本来满足数据保护合规性要求。数据安全的合规,最终不可避免的涉及到信息安全体系的...
10月25日237 views评论信息安全
数据安全
DevSecOps在携程的最佳实践
作者简介 Living,携程高级基础安全工程师,关注应用安全、渗透测试方面的技术。 一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面,为全球用户提供服务的在...
07月14日285 views评论sdl
安全
SDL工具之Shingle,一款支持多人协作实施威胁建模的微信小程序
Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作。
06月02日1,134 views评论安全
微信
SDL工具之Shingle,一款支持多人协作实施威胁建模的微信小程序
Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作。
06月02日400 views评论安全
微信
7