天融信阿尔法实验室 » 安全动态 https://blog.topsec.com.cn 研究与分享 Mon, 16 Mar 2026 03:36:36 +0000 zh-CN hourly 1 http://wordpress.org/?v=3.8 2017年OWASPTop10技术解析 https://blog.topsec.com.cn/owasptop10/ https://blog.topsec.com.cn/owasptop10/#comments Thu, 14 Dec 2017 06:46:07 +0000 http://blog.topsec.com.cn/?p=2596 天融信阿尔法实验室   雨夜 韩鹏

一、OWASP介绍

OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

二、 2013版到2017版的改变

11.[mg 在过去的几年中,应用程序的基础技术和结构发生了重大变化,一些成熟的框架被大量使用,JS框架(如Angular、React)编写的单页应用程序,允许创建高度模块化的前端用户体验;原来交付服务器端处理的功能现在变为由[......]

Read more

]]> https://blog.topsec.com.cn/owasptop10/feed/ 0 CVE-编号管理机构(CNAs)介绍 https://blog.topsec.com.cn/cve-%e7%bc%96%e5%8f%b7%e7%ae%a1%e7%90%86%e6%9c%ba%e6%9e%84cnas%e4%bb%8b%e7%bb%8d/ https://blog.topsec.com.cn/cve-%e7%bc%96%e5%8f%b7%e7%ae%a1%e7%90%86%e6%9c%ba%e6%9e%84cnas%e4%bb%8b%e7%bb%8d/#comments Wed, 09 Mar 2016 07:25:00 +0000 http://blog.topsec.com.cn/?p=1660 1.       关于CVE

CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题(来自搜狗百科)。

CVE 开始建立是在1999年9月,起初只有321个条[......]

Read more

]]> https://blog.topsec.com.cn/cve-%e7%bc%96%e5%8f%b7%e7%ae%a1%e7%90%86%e6%9c%ba%e6%9e%84cnas%e4%bb%8b%e7%bb%8d/feed/ 0 BlackEnergy攻击致乌克兰停电事件分析 https://blog.topsec.com.cn/blackenergy%e6%94%bb%e5%87%bb%e8%87%b4%e4%b9%8c%e5%85%8b%e5%85%b0%e5%81%9c%e7%94%b5%e4%ba%8b%e4%bb%b6%e5%88%86%e6%9e%90/ https://blog.topsec.com.cn/blackenergy%e6%94%bb%e5%87%bb%e8%87%b4%e4%b9%8c%e5%85%8b%e5%85%b0%e5%81%9c%e7%94%b5%e4%ba%8b%e4%bb%b6%e5%88%86%e6%9e%90/#comments Thu, 14 Jan 2016 09:38:03 +0000 http://blog.topsec.com.cn/?p=1561 A 事件简述 2015 年 12 月 23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电,1 个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成,2016 年 1 月 4 日时,安全公司 iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码,由于过去从来未曾有黑客攻击造成电网大规模停电的纪录,iSight Partners 认为这起攻击是电网资安史上的里程碑。

B 入侵路径和恶意组件分析

本次APT的攻击路径为 Office类型的漏洞利用(CVE-2014-4114)-->邮件-->下载恶意组件Blac[......]

Read more

]]> https://blog.topsec.com.cn/blackenergy%e6%94%bb%e5%87%bb%e8%87%b4%e4%b9%8c%e5%85%8b%e5%85%b0%e5%81%9c%e7%94%b5%e4%ba%8b%e4%bb%b6%e5%88%86%e6%9e%90/feed/ 0 天融信获得CNVD漏洞报送突出贡献单位荣誉称号 https://blog.topsec.com.cn/%e5%a4%a9%e8%9e%8d%e4%bf%a1%e8%8e%b7%e5%be%97cnvd%e6%bc%8f%e6%b4%9e%e6%8a%a5%e9%80%81%e7%aa%81%e5%87%ba%e8%b4%a1%e7%8c%ae%e5%8d%95%e4%bd%8d%e8%8d%a3%e8%aa%89%e7%a7%b0%e5%8f%b7/ https://blog.topsec.com.cn/%e5%a4%a9%e8%9e%8d%e4%bf%a1%e8%8e%b7%e5%be%97cnvd%e6%bc%8f%e6%b4%9e%e6%8a%a5%e9%80%81%e7%aa%81%e5%87%ba%e8%b4%a1%e7%8c%ae%e5%8d%95%e4%bd%8d%e8%8d%a3%e8%aa%89%e7%a7%b0%e5%8f%b7/#comments Fri, 08 Jan 2016 02:58:43 +0000 http://blog.topsec.com.cn/?p=1529 国家信息安全漏洞共享平台(CNVD)网站消息,北京天融信网络安全技术有限公司等8家技术支撑成员单位获得2015年度漏洞报送突出贡献单位的光荣称号。以下是奖牌图片 topsec_vul_2015 这个评选活动是两年举办一次,在前次活动中,天融信公司也获得了同样的荣誉: topsec_vul_2013-1 天融信继两年前获得“漏洞报送突出贡献单位”称号后再次蝉联,这是CNVD对天融信在公开漏洞信息的收集能力和积极报送态度 的肯定。]]> https://blog.topsec.com.cn/%e5%a4%a9%e8%9e%8d%e4%bf%a1%e8%8e%b7%e5%be%97cnvd%e6%bc%8f%e6%b4%9e%e6%8a%a5%e9%80%81%e7%aa%81%e5%87%ba%e8%b4%a1%e7%8c%ae%e5%8d%95%e4%bd%8d%e8%8d%a3%e8%aa%89%e7%a7%b0%e5%8f%b7/feed/ 0 xcodeghost事件观察 https://blog.topsec.com.cn/xcodeghost%e4%ba%8b%e4%bb%b6%e8%a7%82%e5%af%9f/ https://blog.topsec.com.cn/xcodeghost%e4%ba%8b%e4%bb%b6%e8%a7%82%e5%af%9f/#comments Thu, 15 Oct 2015 08:35:42 +0000 http://blog.topsec.com.cn/?p=1126

1 xcodeghost事件始末

Xcode为苹果官方的编译套件,在Mac App Store中免费提供。中国大陆访问Mac App Store有连接困难,部分开发者选择了国内第三方渠道下载(如百度云盘),由此带来了安全隐患。而这部分Xcode被植入了一套称作“Xcode Ghost”的代码,会替换相关的库,使得编译出来的APP携带有病毒代码,在最终用户端运行时将隐私信息提交给第三方;同时安装这类受感染应用的设备具备可能的广告点击能力。

2 谁的责任——互联网公司软件开发流程简介

2.1 开发人员的责任?

IOS系统向来以安全著称,虽然早在PC辉煌的windows时代就有类似于感染[......]

Read more

]]> https://blog.topsec.com.cn/xcodeghost%e4%ba%8b%e4%bb%b6%e8%a7%82%e5%af%9f/feed/ 0