记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

“让开发者爱上安全测试”系列之源码安全测试谁负责?

前言 顺着应用安全的发展,对于源代码安全测试,在源代码层面是进行安全漏洞的测试与防范,避免产生所谓的“0-day”漏洞,现在已是大家的共识,成为构建软件安全保障体系中必备环节。但我也常常听到有人抱怨“源代码安全测试很难开展,总是遇到这样那样的问题,分工不明,权责不清,配合变成对抗,最后导致虎头蛇尾,甚至是执行不下去,留以形势,无法产生实际作用。 那么今天我们就来讨论一下,企业内部怎样开展源代码安全测试?到底谁来负责源代码安全测试,才能使其有效地执行,事半功倍? 源代码安全测试归准? 我们把今天这个话题,变成一个相对具体的问题来讨论吧: 软件源代码安全测试工作到底应该归属于哪个部门?是测试部门?是安全部门?还是开发部门? 作为一直致力于为用户提供最佳的软件源代码安全测试解决方案的我,这个问题是我必须思考和解决的
发布时间:2016-12-10 00:45 | 阅读:120213 | 评论:0 | 标签:术有专攻 安全测试 开发 源代码

“让开发者爱上安全测试”系列之“源码安全测试”——开发者之伤

源代码安全测试不再是新鲜话题,在很多的企业已经开展了相关工作,对于已经开展此项目工作的企业来说,我想问的问题则是“在你的源代码安全测试工作中所面临的最大阻力是什么?” 这个问题不同的企业可能有不同的答案,且各有各的道理。 其实,据我总结来看,很多的阻力表象最终都可以归结为“开发人员不配合”的问题。那为什么开发人员不配合源代码安全的相关工作呢?换句话说:如何让开发者爱上安全测试呢? “源代码安全测试”——想说爱你不容易 对于开发者而言,源代码安全测试不是我们不想做,也不是我们不愿意配合工作,而是总有这样那样的问题,让我们实在爱不起来。原因归纳总结如下: 1. 测试的范围不清楚 对于安全,我们都知道一个道理,没有绝对的安全只有相对的安全。在很多企业中,源代码安全测试的范围和标准都是由安全部门一手“包办”的。确定哪
发布时间:2016-11-29 16:00 | 阅读:103397 | 评论:0 | 标签:术有专攻 安全审计 安全测试 开发 思客云

SFDC开发者大会都讨论了哪些安全问题?

许多软件上线后出现的安全问题,都是可以在开发阶段就通过某些手段规避掉的。除了大环境上没有相关的体系或标准强制约束以外,即使开发人员或项目经理有意识在开发阶段添加一些基础的安全防护机制,但更多的情况下,则是无从下手。不知道问题可能会出现在哪里,也不知道如何防患于未然。 开发者可以从哪些角度来考虑安全?11月19日,由国内开发者社区SegmentFault举行的全国性开发技术交流大会SFDC(北京站),就首次以“安全”作为开发者大会的主题,进行探讨。 业务安全 如果暂时不考虑国家安全这个层面,那么网络安全的核心价值则在于对企业业务的支撑,同时这也是大部分企业的命脉所在。然而,不同于政治动机或经济利益驱使的具备较强入侵技术的黑客组织,黑(灰)产的目标则是通过一些操作简易的自动化工具,从业务逻辑漏洞本身出发,来大批量
发布时间:2016-11-28 23:25 | 阅读:130478 | 评论:0 | 标签:行业动态 业务安全 安全架构 开发 移动安全

WinPcap开发(二):扫描探测

*本文原创作者:追影人0×00 前言0×01 “主机发现”原理0×02 基于ARP的主机发现0×03基于ICMP的主机发现0×04 端口扫描的原理0×05 基于connect的端口扫描0×06 基于SYN、FIN的端口扫描0×07 优化0×08总结与预告0×00 前言在上一章节,我们学习了winpcap入门知识,基本环境的搭建与基础程序的编写,本章我们将继续深入探索winpcap在各种应用场景下的强大魅力。本章节将详细介绍利用winpcap进行网络节点存活性探测及端口开放状态扫描的“姿势”。0×01 主机发现”原理网络节点存活性探测,又称“主机发现”,其目的在于确定目标主机是否在线。网络管理员通常使用其维护网络,确定网络中主机的通联状况,及
发布时间:2016-05-24 21:45 | 阅读:121952 | 评论:0 | 标签:网络安全 winpcap 开发 扫描 抓包

[原创作品][PHP]BT种子打包推送小神器~~

这个小工具,目前还没有名字,暂命名为“GetBTFiles@Email”,我使用了Snoopy,phpmailer类,当然还有自定义函数. 这个神器,满足于AV爱好者,大家都知道的,从74.xxx.xxx.xxx网站下载的bt种子,一个一个点起来很麻烦,所以有了让其打包自动发送的想法. 废话不讲,先说下思路: 首先,让程序下载对方网站的html文件,然后,再到本地筛选种子的URL,然后登陆种子下载站进行下载, 打包, Email推送 这里是否让程序下载对方网页,还是让程序直接读取,这里就纠结了好一阵子.原因在于,snoopy直接访问对方网站效率较低,用curl速度却很快... 好了,至于Snoopy和phpmailer两个class网上都有下载,这里就不贴出代码了,首先说明一下目录结构. .
发布时间:2013-01-07 14:01 | 阅读:231794 | 评论:0 | 标签:我的作品 技术点滴 btmail bt文件 php tools 内部推送 工具 开发 神器 种子打包 自动化

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云