聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士MITRE Caldera 所有版本受一个CVSS评分为10的RCE漏洞影响,最早可追溯至第一个版本。只要运行 Caldera 的服务器上出现Go、P...
业务逻辑攻击定义框架:OWASP BLADE
业务逻辑攻击的兴起业务逻辑攻击指攻击者绕过技术层面的安全措施,直接滥用应用设计中固有的业务流程与逻辑漏洞,以获取非法利益或造成损害。与传统利用代码缺陷的攻击(如 SQL 注入、XSS)不同,业务逻辑攻...
AI威胁倒逼网络弹性进化:从被动防御到智能免疫
人工智能技术的迅猛发展催生了创新浪潮,但也伴随术语的泛滥与概念模糊化。以ChatGPT为代表的生成式AI工具在短短数年内重塑行业格局,却使许多技术名词被过度简化甚至误用。在此背景下,“网络弹性”这一相...
CVE体系若消亡将如何影响网络安全防御格局
由MITRE运营的通用漏洞披露(CVE)项目的重要性不容低估。25年来,它始终是网络安全专业人员理解和缓解安全漏洞的基准参照系。通过提供标准化的漏洞命名与分类方法,这套体系为防御者建立了理解、优先级划...
ATT&CK框架更新跟踪——IDE隧道滥用
前言MITRE ATT&CK框架2025年更新来了,本次介绍的是今年更新后新收录的手法——Command and Control: Remote Access Tools: IDE Tunne...
MITRE ATT&CK 过去、现在和未来 (2020-2025)
MITRE ATT&CK 过去、现在和未来 (2020-2025)最近知识库上新了一大批安全领域顶会的论文,几百本网络安全、黑客主题的电子书,farley大佬也贡献了一个勒索信息的库上百万条赎...
CVE计划停摆:全球漏洞治理体系面临协同危机
当美国网络安全和基础设施安全局 (CISA) 批准 MITRE 延长其 CVE 和 CWE 项目监管合同 11 个月的消息传出后,一些业内人士松了一口气。但经验丰富的网络安全专业人士却并非如释重负,而...
Mitre CVE项目因续约协议达成而重新获得资金
信息安全行业担心,一旦出现疏漏,就会导致整个行业的软件漏洞暴露。网络安全和基础设施安全局表示,已达成协议,将为信息安全社区用来解决安全漏洞的软件漏洞计划重新提供资金。据了解该决定的官员透露,资金将在 ...
CVE 计划险遭停摆,CISA 压哨紧急续约 11 个月
CVE 计划:全球网络安全的基石CVE 计划自1999年由 MITRE 启动以来,已成为全球识别和追踪软件漏洞的标准体系。其唯一的漏洞编号被广泛用于漏洞通报、补丁管理、威胁情报和自动化安全工具中。科技...
CISA 将与 MITRE 的 CVE 计划合同延长 11 个月
在联邦网络安全官员确认他们暂时延长与该组织的合同以保持平台运行后,MITRE Corporation 将继续运营 CVE 计划至少 11 个月。网络安全和基础设施安全局 (CISA) 的一位发言人周三...
反转!CVE保住了
关于CVE项目由于美国联邦政府不再续签合同可能在本周停摆事件,今晨迎来转机。CISA 发布社媒表示,美国政府已延长 MITRE 的资金,以确保关键的通用漏洞披露 (CVE) 计划不存在连续性问题:“C...
美国CVE漏洞数据库面临资金枯竭危机
美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”(CVE),由政府提供的资金将于本周三到期,或将面临停摆。CVE漏洞数据库是全球网络安全生态系统的重要基石,为各组...