记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

默安科技发布首个云平台安全大脑 企业安全步入人工智能时代

首个具备自我进化能力的 “安全大脑”面世。11月1日,默安科技在北京举行“安全计算未来”新品发布会,发布了以安全大脑“Aida”为中心的云平台安全防护解决方案“磐石”,以及企业SDL安全开发解决方案“雳鉴”。默安科技“安全计算未来”新品发布会Aida:带领企业安全步入人工智能时代连续击败世界排名第一围棋天才柯洁的“阿尔法狗”,近日被进化出的升级版“阿尔法元”以100比0的战绩击败,这种“无师自通”的学习模式,在AI整个发展上是具有里程碑意义的,也给予科技界创新的启迪。与人脑相比,人工智能在某些特定领域具有很大优势。越来越多的企业推出了人工智能服务,例如通过城市大脑、工业大脑等,从而推动工业生产智能化改造,优化城市的管理。针对愈加复杂多变的安全威胁,默安科技推出了云平台安全大脑“Aida”。作为MoreSec A
发布时间:2017-11-02 13:10 | 阅读:113921 | 评论:0 | 标签:行业动态 Aida 人工智能 安全开发 默安科技

安全牛课堂在线直播:代码安全审计最佳实践

安全开发,是最近这两年在安全圈和开发圈都非常热门的话题。但受限于没有通用的行业测试标准/认证来强制要求,而开发者这个群体又是面向客户功能性需求最优先的,会不经验证的使用大量第三方库,所以安全问题一直是一块心病。 诚然,安全开发不是一劳永逸的,但可以从开发的设计阶段,就规避掉诸如弱口令等常见的安全问题。对于应用在上线正式运营后暴露出大量安全漏洞,甚至引发严重安全事件后企业需要付出的安全成本,安全开发是一笔非常合算的前期投入。 而贯穿全软件生命周期的安全开发这一过程中至关重要的一个环节,便是对源代码的安全审计。 去年年末,安全牛连载过四篇“让开发者爱上安全测试”系列文章,反响颇好。此次安全牛在线技术讲座第十五期,我们邀请到了文章的作者,同时也是思客云(北京)软件技术有限公司的技术总监王宏,为我们带来主题为《代码安
发布时间:2017-02-22 21:45 | 阅读:142999 | 评论:0 | 标签:活动集中营 安全开发 安全牛课堂 思客云 源代码安全审计

为什么所有开发人员都需要具备网络安全技术?

除了拥有专家团队,提高全部开发人员的实用安全技术同样重要。 一份最近的研究表明:到2019年,全世界对网络安全专业人才的需求,将导致超过100万个网络安全职位亟待填充;其中需求最甚的,是安全软件开发。毫无意外,公司企业正经历越来越严峻的安全人才荒,打造可靠服务和保持自家用户数据安全所需人才缺口正在扩大。 补足人才缺口和创建更安全产品的一个途径,就是培训和聘用更多的网络安全专业工程师。但是,除了钉在专门网络安全团队里的那些,让公司里所有开发人员的密码学和安全技术都得到提高,也同样重要。 1. 新App产生更多数据的同时也产生了更多风险 医疗、健康和金融App的兴起,连同联网设备数量的增加,产生了大量关于我们自身的敏感数据。我们信任这些App,将自己的医疗记录、银行信息,甚至最常造访的地方都提供给了它们。如果创建
发布时间:2017-02-03 13:20 | 阅读:203123 | 评论:0 | 标签:术有专攻 加密 安全人才 安全开发 安全风险

精益求精的代码却被带漏洞组件毁于一旦

第三方组件可不总是你想象的那样,即省时省力又省成本的利器 应用安全公司Veracode一项新研究显示,几乎全部(97%)Java应用都包含至少1个带已知漏洞的组件。 Veracode报告公司企业所写代码的逐年改进情况,某种程度上,是对不断增长的开源和第三方组件使用风险的积极发现。一个带关键漏洞的流行组件,可扩散至80000多个其他软件组件中,然后又用到可能数百万个软件项目的开发过程中。 软件开发中开源组件的广泛使用,正在公司企业间制造不受控的系统性风险。 Veracode报告还凸显了软件开发中的进步和依然留存的困难。3/5(60%)的应用程序在第一轮扫描中就不满足安全策略。 安全软件开发的最佳实践正在兴起,但仍未流行到能在整个软件开发市场上举足轻重的程度。 一个积极的改进,来自于更前瞻性的公司给予开发人员更多
发布时间:2016-11-02 00:00 | 阅读:80195 | 评论:0 | 标签:行业动态 安全开发 安全漏洞 开发运维 漏洞

安全软件开发的三大错误

许多开发人员如今已经认识到安全软件开发的重要性,但更重要的是,我们必须明白,计划进行安全软件开发和实现它并不是同一回事。实际上,一些软件开发公司首先得将安全完全集成到他们的开发过程中来。时间和资金限制是公司面临的常见阻碍,但开发人员的错误同样能造成该集成过程的延迟或错误导向。下面是开发人员容易犯下的三大错误:错误 #1:项目最后才匆忙上马安全公司企业必须在开发过程之初就有一个安全计划。这种前瞻性可以让开发人员采用安全的架构和设计方法,也能更容易地保证代码的整体安全。一个制定良好的安全计划,对今天的软件用户而言尤其重要,他们期望开发人员给他们提供安全的产品。当你推迟项目某个子系统的安全工作,稍后你将不得不对整个系统的很大一部分进行返工和重新测试。你当然可以延迟日志之类代码库才关心的事,但如果你因为复杂和昂贵而推诿
发布时间:2016-02-22 17:00 | 阅读:67760 | 评论:0 | 标签:术有专攻 安全开发 漏洞

如何保障科技产品供应链的安全?

你能想像警察局、审讯室,或是在其他布置着警用摄像头的场所,一个黑客可以监视这一切吗?美国一家警用随身摄像头供应商,最近被在其设备上被检测出恶意软件–飞客蠕虫病毒。而且,这款7年前就出现的老计算机病毒感染了这家制造商的多款摄像头。飞客蠕虫病毒自第一个变种开始横行以来已经7年,其长久不衰的事实证明了它是一款非常难以根除的病毒。如果未受防护的系统连接上了这些受到感染的设备,也很有可能被感染。也就是说,警察局的计算机系统可能早已被感染。随着互联网持续深入,日常工作和生活的各种设备制造商,遵从严格的安全协议这一点变得愈加重要。但如果产品是在海外制造的,制造商在保证用户的安全方面又该承担起哪些责任呢?一些事实前国家安全局承包商爱德华·斯诺登泄露的文件详细描述了美国情报机构拦截电子硬件设备的货运,植入监视程序后再
发布时间:2015-12-10 03:35 | 阅读:80807 | 评论:0 | 标签:术有专攻 牛观点 供应链 安全开发

【安全课堂】缓冲区溢出浅析之二

在《缓冲区浅析之一》里,以针对nMap扫描器的二进制封装为例,我们讨论了一个简单的堆栈缓冲区溢出漏洞。我们展示了动过手脚的命令行参数是如何在堆栈上触发用户数据溢出的。SYN二进制扫描器在将数据提交给堆栈上的固定长度缓冲区之前,并没有对用户提供的缓冲区长度进行检查。在Debugger里进行分析时,我们发现该程序试图访问我们指定的内存地址0xdeadbeef。 这种情况为什么会发生?在回答这个问题之前,很有必要了解一下堆栈调用的工作原理。 每当一个函数被调用,堆栈指针就向下移动到邻近的地址,同时加上调用来源的相关信息,当函数返回时,这一信息按理将被清除。此外,每个函数都带有开场声明信息,这部分信息将自动在堆栈里占用特定大小的空间,比如样例程序里的`char buf[64]`语句。 这意味着buf是一个指针,指向比存
发布时间:2015-03-16 12:20 | 阅读:63200 | 评论:0 | 标签:安全开发 牛技术 牛观点 C语言 缓冲区溢出 溢出

【安全课堂】缓冲区溢出浅析

许多程序员在编程时都没有遵循一条规则,即操作字符串时,边界检查是必需的。否则,就有可能出现堆栈缓冲区溢出。不管你是一个开发人员,还是测试或研究人员,理解缓冲区溢出的原理都很重要。尽管操作系统和编译器已经提升了安全性,但最好的安全还是自己能够识别并消除这种潜在的编程错误。本文将通过一个编程例子,简要分析堆栈缓冲区溢出的原理和利用。下面是一段对特定目标进行Nmap TCP SYN扫描的源代码:当编译后,这段代码会接受一个命令行参数,然后把它传递给 /usr/bin/nmap作为扫描目标。源代码编译后的二进制文件在此目录中。键 入“ls”命令,可以看到root用户拥有的/usr/bin/synscan文件处于suid和sgid用户组中,也就意味着synscan的执行环境 得到root权限的许可,因此SYN扫描可以由任
发布时间:2015-03-09 00:15 | 阅读:89087 | 评论:0 | 标签:安全开发 牛技术 C语言 缓冲区溢出 溢出

加密妙招:让逆向工程毫无用武之地

软件逆向工程,解构程序分析其运作机制的艺术,高端黑客得以彻底探索代码查找可供利用漏洞的利器。同时,它也是这些黑客的恶意软件被破解和无害化的不二法门。而现在,一个新的加密小妙招就能使黑帽子和白帽子双方的逆向工程工作都很难开展。将于下个月在新加坡举行的SyScan安全大会上,安全研究员Jacob Torrey计划展示他称之为“反逆向工程系统”(HARES)的一种新的机制。Torrey的方法在于加密软件代码,并且只在代码即将被执行的最后一秒才在处理器中解密代码。这将阻止逆向工程工具在程序运行时读取被解密的真实代码。结果就是:想盗版软件的黑客难以破解软件,无法找出安全漏洞,甚至,在某些情况下连弄清软件的基本功能都做不到。“这将使应用程序完全不透明。软件算法无法被逆向工程解析,脆弱点无法被找到。” 像Adobe
发布时间:2015-02-25 20:50 | 阅读:64370 | 评论:0 | 标签:安全开发 牛工具 牛技术 代码加密 逆向工程 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云