2022年04月08日
上周,第三方漏洞收购平台Zerodium宣布未来2-3月暂停收购iOS漏洞,因为短期内提交的iOS漏洞利用程序太多。这条新闻让很多安全人士感到诧异,毕竟,iOS的安全性曾经是苹果公司引以为傲的最大卖点之一,5年前iOS的零日漏洞售价动辄高达百万美元,但近年Android系统安全性不断提升,漏洞价格也反超了iOS,如今Android零点击漏洞(无需用户交互便可利用)价格已经飙升至250万美元,而iOS的类似漏洞价格“只有”200万美元。
除去谷歌和苹果公司在应用安全领域的
2022年04月08日
【51CTO.com快译】朋友,您是否和周围许多开发人员一样,时常将OAuth 2.0(以下简称OAuth)与Web会话管理相混淆?您是否因为错误地使用协议和技术栈,而导致各种安全问题呢?本文将和您讨论何时该使用常规的会话管理解决方案,以及何时该使用某种OAuth流。
主要区别
总的说来,用户会话管理和OAuth之间的区别主要体现在通信双方之间的信任级别上。
我们在使用用户会话时,通常假定通信中的一方是不可信任的(例如:您应用程序的前端),而另一方是可以信任的(例如:您应用程序的后端)。而在
2022年04月08日
HTTP/3是超文本传输协议(HTTP)的第三个正式版本,将改善网络性能和稳定性,解决各种安全隐私问题,但尽管如此,仍存在一些安全挑战。
HTTP/3不再使用传输控制协议(TCP),相反,将使用2012年谷歌提出的QUIC传输协议。实际上,HTTP/3前身是HTTP-over-QUIC。
2018年10月,互联网工程任务组(IETF) HTTP和QUIC工作组主席Mark Nottingham提出了将HTTP-over-QUIC更名为HTTP/3。
QUIC是基于用户数据包协议(UDP)连接
2022年04月08日
随着企业数字转型和“安全上云”运动的开展,以及当下疫情加重的Web安全和应用安全焦虑,越来越多的企业开始考虑购买WAF或云WAF产品。但是,在“战五渣?四大云WAF实战测试险遭团灭”一文中,我们了解到即使是一些大牌云计算厂商的云WAF产品,在测试中的表现往往都让人大跌眼镜。
其实不仅仅是云WAF,根据最新的调查报告,WAF产品的有效性和客户满意度的表现越来越令人失望。虽然WAF已经成为是企业应用安全策略的主力产品,但事实是,大多数企业都难以充分利用
2022年04月08日
哥伦比亚大学的研究人员近日发布了Crylogger,这是一种开放源代码动态分析工具,可检测Android应用程序中存在的加密漏洞。
研究者用Crylogger测试了Google Play商店中1780个流行的Android应用程序,涵盖了流行的信息流媒体、文件和密码管理器、身份验证应用程、个人通讯等多种应用,结果令人震惊,几乎所有Android应用都存在加密漏洞:
所有受测应用都违反26条加密规则中的至少一项
1775个应用使用了不安全的伪随机数生成器(PRNG)
2022年04月08日
MicrosoftInternetExplorer402DocumentNotSpecified7.8 磅Normal0美国新思科技公司 (Synopsys,Nasdaq: SNPS)近日发布了《现代应用程序开发安全安全开发》报告。根据行业分析公司Enterprise Strategy Group (ESG)调查网络安全和应用程序开发专业人员报告重点介绍了安全团队对现代发展和部署实践的理解,以及需要采取哪些安全控制措施来降低风险。研究发现,近一半(48%)因时间压力而调
2022年04月08日
应用程序安全方法论和最佳实践已有十多年的历史,其中“成熟度模型的安全开发”(BSIMM)是企业多年来跟踪安全开发成熟度进展的重要模式。上周,Synopsys发布了基于BSIMM11模型报告分析了基于金融服务、软件、云计算、医疗等9个垂直行业的130家公司的软件安全实践,揭示了以下四种应用安全趋势: 工程导向的软件安全工作正在成功推进DevOps追求弹性的价值流;
2022年04月08日
根据MobileIron随着全球消费者信心的研究, QR(二维码)的应用越来越及,用户安全意识极其淡漠,二维码安全危机即将到来。64%的受访者表示,大多数人的移动设备缺乏二维码安全保护,51%的受访者表示,他们不知道自己的移动设备是否安装了二维码安全软件。在新冠肺炎疫情期间,移动设备在每个人的生活中都变得更加重要,47%的受访者表示QR增加了代码的使用。同时,员工比以往任何时候都更容易使用移动设备(在许多情况下使用自己的不安全设备),与各种基于云的应用程序和服务互动,并在任何地方工作时保持生产力