安全动态

6 articles

2017年OWASPTop10技术解析

天融信阿尔法实验室   雨夜 韩鹏

一、OWASP介绍

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

二、 2013版到2017版的改变

11.[mg

在过去的几年中,应用程序的基础技术和结构发生了重大变化,一些成熟的框架被大量使用,JS框架(如Angular、React)编写的单页应用程序,允许创建高度模块化的前端用户体验;原来交付服务器端处理的功能现在变为由[......]

Read more

习近平在419网络安全和信息化工作座谈会上的讲话要点

中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平19日上午在北京主持召开了网络安全和信息化工作座谈会,他首先表示,我国互联网事业快速发展,网络安全和信息化工作扎实推进,取得显著进步和成绩,同时也存在不少短板和问题。召开这次座谈会,就是要当面听取大家意见和建议,共同探讨一些措施和办法,以利于我们把工作做得更好。

在听取了十位代表的发言之后,习近平做了总结发言,以下是个人梳理的10个要点:

1.     中国互联网大有可为

我国有7亿网民,这是一个了不起的数字,也是一个了不起的成就。我国经济发展进入新常态,新常态要有新动力,互联网在这方面可以大有作为。[......]

Read more

CVE-编号管理机构(CNAs)介绍

1.       关于CVE

CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题(来自搜狗百科)。

CVE 开始建立是在1999年9月,起初只有321个条[......]

Read more

BlackEnergy攻击致乌克兰停电事件分析

A 事件简述

2015 年 12 月 23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电,1 个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成,2016 年 1 月 4 日时,安全公司 iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码,由于过去从来未曾有黑客攻击造成电网大规模停电的纪录,iSight Partners 认为这起攻击是电网资安史上的里程碑。

B 入侵路径和恶意组件分析

本次APT的攻击路径为

Office类型的漏洞利用(CVE-2014-4114)–>邮件–>下载恶意组件Blac[......]

Read more

天融信获得CNVD漏洞报送突出贡献单位荣誉称号

国家信息安全漏洞共享平台(CNVD)网站消息,北京天融信网络安全技术有限公司等8家技术支撑成员单位获得2015年度漏洞报送突出贡献单位的光荣称号。以下是奖牌图片
topsec_vul_2015

这个评选活动是两年举办一次,在前次活动中,天融信公司也获得了同样的荣誉:
topsec_vul_2013-1

天融信继两年前获得“漏洞报送突出贡献单位”称号后再次蝉联,这是CNVD对天融信在公开漏洞信息的收集能力和积极报送态度
的肯定。

xcodeghost事件观察

1 xcodeghost事件始末

Xcode为苹果官方的编译套件,在Mac App Store中免费提供。中国大陆访问Mac App Store有连接困难,部分开发者选择了国内第三方渠道下载(如百度云盘),由此带来了安全隐患。而这部分Xcode被植入了一套称作“Xcode Ghost”的代码,会替换相关的库,使得编译出来的APP携带有病毒代码,在最终用户端运行时将隐私信息提交给第三方;同时安装这类受感染应用的设备具备可能的广告点击能力。

2 谁的责任——互联网公司软件开发流程简介

2.1 开发人员的责任?

IOS系统向来以安全著称,虽然早在PC辉煌的windows时代就有类似于感染[......]

Read more