安全闲碎

发现漏洞后怎么办?

【原创】 作为安全行业的甲方(如互联网企业),经常会收到外部报告的漏洞或者发现安全事件,比如SQL注入、XSS、逻辑漏洞、APP缺陷等等。那么,收到漏洞报告之后,应该如何处理,才能最大程度的降低风险呢...
admin 04月14日95 views评论sql sql注入
阅读全文

sdl一点感悟

SDL里,规则是核心,其他都是开发。 重点是静态代码扫描,数据流算法才是核心,那么为啥用字节码呢?字节码携带的信息显然超过ast,而且方便构建basic blocks。 还有cfg不等于调用栈,好多小...
admin 02月18日安全闲碎50 views评论sdl 字节码
阅读全文
安全文章

业务安全的上岸体历(-)

在甲方做业务SDL的几年,在落地方面也做了不少努力。一是得看着业务高P的脸色,二是得假装硬气的扮猪吃老虎,一路走来可谓是一把辛酸泪。 闲话不多扯,我们团队在SDL方向,针对公司现状进行威胁建模,进行了...
admin 03月25日51 views业务安全的上岸体历(-)已关闭评论安全 审计
阅读全文