如需查阅更多嘉宾分享，请关注“君哥的体历”公众号。提示：本文有6479字，阅读大概需要20分钟。【分享议题】大型互联网应用安全SDL体系建设实践【分享嘉宾】秦波【嘉宾简介】在互联网荒芜时期...

随着自动化攻击手段的发展，业务系统面临的攻击类型也越来越多，OWASP最新发布的《Automated Threat Handbook》中提到的自动化威胁已达到21种之多。但同时，相对于传统安全攻防，企业普遍缺乏对...

欢迎关注微信公众号《白盒研修院》或专栏《SAST白盒审计之路》，那里我会把自己关于SAST所思所想第一时间与大家分析。6.4.4 误报控制除了规则集的敏感性，减少SAST结果噪音的另一种方法是彻底抑...

为什么我们需要更注重源代码安全审计？现在大部分客户对于软件开发的安全考量基本集中在软件开发的后期，在测试阶段引入。常用的软件风险评估、漏洞扫描、渗透测试等都是在软件开发完成后进行。...

本文主要介绍OWASP核心规则集的两种配置模式。 OWASP规则的官方Github地址：https://github.com/coreruleset/coreruleset。 OWASP V3版本核心规则集目前支持两种配置模式： 异常评分模式（默认...

一、问题发现对于XXE问题，大家都不陌生。对于XXE的防御（修复），很多安全从业者也都知道，最安全的手段就是禁用DTD实体。文献【1】给出了各种语言下各类XML库的安全编码方式。在甲方环境下，...

一、背景介绍  在业务安全领域，滑动验证码已经是国内继传统字符型验证码之后的标配。众所周知，打码平台和机器学习这两种绕过验证码的方式，已经是攻击者很主流的思路，不再阐述。本...

0x00 引言 平时用了几款扫描器，感觉各自都有一些不足，有的参数配置太冗余，有的使用体验不友好，有的没界面，有的只有win版......，忽然想到OWASP官网出品的DirBuster，综合功能非常好，遗憾...

2020年初，我通过了准备已久的Pentest+认证考试。我还写了一篇 考试指南，有兴趣的读者可以点击查看。 近期我打算花一点时间把Pentest+知识体系整理成一系列文章，巩固一下我对渗透测试的理解以...

重磅发布：新一代固件安全检测平台——全面提升物联网固件安全风险排查能力随着物联网智能终端数量的爆发式增长，安全问题也不断暴露出来。很多攻击者从物联网设备的固件入手，对固件进行破解，...