- 综合排序
- 最热优先
- 最新优先
- 来自专栏密码安全与管理
开源密码管理器更安全吗?(2)
常见密码管理器加密的关键步骤如下:图片master password, 用户设置的主密码,要求用户保密PBKDF2, Password-Based Key Derivation Function 2 把主密码转换成加密密钥 , 密文,加密后得到的数据,也就是密码管理器保存的加密数据库采用 PBKDF2 或其他密钥生成算法,数据安全就从要求key保密,转换成了要求主密码保密。 作为用户,挑选密码管理器产品时,需要详细了解产品的安全技术,而非一味依赖所谓的“名牌”效应。开源密码管理器提高了透明度,给有能力的用户机会审查开发者是否正确使用了加密算法。 有些基于云的密码管理器厂商提供了双因素登录验证(2 factors authentication),第2个登录验证并不能用于加密数据,并非这里所说的解锁因素。 开源密码管理器提供了一定的透明性,但更重要的还是详细了解它的安全设计,能否把我们最关心的风险降到最低。----上一篇:开源密码管理器更安全吗?(1) - 隐秘的角落
1.7K10编辑于 2022-11-09 - 来自专栏FreeBuf
Umap2 | 开源USB host安全评估工具
Umap2是一款由NCC Group和Cisco SAS小组开发的、基于python的USB host安全评估工具。 它拥有第一版所支持的所有功能: umap2emulate:USB设备枚举 umap2scan:用于设备支持的USBhost扫描 umap2detect:USBhost操作系统检测(尚未实现) umap2fuzz 目前是使用pip进行安装: $ pipinstall git+https://github.com/nccgroup/umap2.git#egg=umap2 附属功能 Umap2的附属功能列在setup.py $ umap2emulate -P fd:/dev/ttyUSB0 -C ~/my_mass_storage.py 将来会有一个详细的添加设备的指南,同时,用户可以在umap2/dev/目录下查看umap2 中启动kitty fuzzer,并提供第一阶段生成的stages: $ umap2kitty -s keyboard.stages 3、开启fuzz模式的umap2键盘仿真 $ umap2fuzz -P
1.6K50发布于 2018-02-08 - 来自专栏云云众生s
开源软件安全指南
将开源软件 (OSS) 组件集成到您的 软件供应链 中时,至关重要的是超越仅仅评估组件功能。 通过了解这些因素,组织可以增强其有效管理相关风险和确保安全软件供应链的能力。 定义 OSS 安全性 随着开源软件现在支撑 全球大部分数字基础设施,安全性比以往任何时候都更加重要。 这种主动方法有助于确保组织不仅能从开源创新中受益,还能保护其运营免受潜在威胁。 评估 OSS 安全性 确保 SDLC 中 OSS 的安全性需要一种主动且结构化的方法。 使用安全测试工具和技术可以规范您的分析,帮助查明漏洞并确保符合安全标准。 依赖管理:鉴于依赖各种开源库和组件,细致的软件依赖管理至关重要。 相关文章: 开源安全供应链走向成熟的2023年 提升级别:软件安全的游戏化之道 xz开源攻击时间线 5步实现军用级API安全 如何有效管理XDP/eBPF以获得更好的DDoS保护
1.2K10编辑于 2024-05-10 - 来自专栏云云众生s
开源安全工具与商业安全工具的对决
Snyk 是向左移动安全的首批和最大的支持者之一,它通过一种新颖的方法在开发人员的工作流程中打开拉取请求(PR)来缓解在开源包中发现的通用漏洞披露(CVE),我们已经将这一理念发扬光大,并讨论了天生向左的安全 自从首次推出了其用于开源的 SCA 扫描器(这是他们的知名产品)以来,Snyk 已经添加了相当多的工具到其套件中,以提供更全面的安全性。 基准测试安全平台与开源替代方案 从零开始构建 Jit 时,我们明确这种整合方法确实是安全的正确方法,但执行最终决定了我们作为一个行业是否成功。 在构建一个真正可行的安全编排平台时,我们有幸进行了大量研究——是的,研发中经常被忽略的那个关键部分——我们想探索商业工具与开源工具的世界,并了解为用户提供什么以提升我们作为一个行业的水平。 我们知道代码和开源包一样重要,就像所部署的软件的云配置一样重要。这只能通过启用开发者选择他们想要的任何工具来实现——开源或商业——并在开箱即用的基础上策划和扩展一组非常出色的开源控件。
39610编辑于 2024-03-28 - 来自专栏深度学习与python
OpenSSF 发布开源项目安全基线
作者 | Sergio De Simone 译者 | 平川 策划 | Tina 为了帮助开源项目维护者保证项目安全,开源安全基金会(OpenSSF)发布了一套基于国际网络安全框架、标准和法规的指南 :开源项目安全基线。 他们认识到, OpenSSF 基线有可能与其他开源安全方案重叠,包括 CISA 和 NIST 的方案。 第 1 级是任何拥有任意数量维护者的项目;第 2 级是拥有至少两名维护者和少量用户的项目;第 3 级是拥有大量用户的项目。 基线涵盖不同的安全领域,如访问控制、构建和发布、文档、质量、漏洞管理等。 建议项目维护者能够自证,如 “截至 2025 年 4 月 31 日,本项目符合 OSPS 基准版本 2025-02-30 第 2 级”。
34010编辑于 2025-04-18 - 来自专栏绿盟科技研究通讯
开源软件安全性分析
本文将从两方面出发,先对本年度的开源安全现状进行分析和说明,然后针对软件生态系统中存在的安全问题,总结了多种开源软件的安全研究动态。 二. 从一份报告看开源现状 本节引用synk.io公司发布的开源安全调查报告,针对2021年4月至2022年3月收集的130多万个项目,从OSS的开发组织、软件依赖关系、关联漏洞等维度了解开源世界的安全现状, 开源组件的安全研究 本节总结了6篇与开源安全相关的论文,研究方向包括供应链生态分析、开源软件漏洞风险分析、开源软件应用风险分析和软件识别。 (2)开源软件漏洞风险分析 在《PDGraph: A Large-Scale Empirical Study on Project Dependency of Security Vulnerabilities 所需要的是:1)将开放源码软件依赖的性质纳入标准网络安全和开发实践,2)为组织所依赖的开放源码软件社区做出贡献。
1.4K20编辑于 2023-02-22 - 来自专栏大龄程序员的人工智能之路
几个开源 RUST 安全算法库
从头编写算法不太现实,上网搜了一下,还好已经有一些 开源 RUST 安全算法库,基于现有的开源代码实现更加可行。下面就介绍一下 RUST 加解密库,并选择一个项目作为基础,实现国密算法。 Sodiumoxide 实现的算法有: 对称加密算法 验证加密:aes256gcm, chacha20poly1305 密钥生成:blake2b 密钥交换:x25519blake2b 非对称加密算法 curve25519xsalsa20poly1305 Ring实现的算法有: 对称加密算法 验证加密:aes128/256gcm, chacha20poly1305 密钥生成:HKDF_SHA256/384/512,PBKDF2_HMAC_SHA1,PBKDF2 使用安全随机数的 AES128-GCM 和 AES256-GCM 批量加密。 ChaCha20-Poly1305 批量加密 (RFC7905)。 ALPN 支持。 SNI 支持。 rust-openssl 项目地址:https://github.com/sfackler/rust-openssl 这个项目为流行的 OpenSSL 加密库提供了一个安全的接口。
3.4K10编辑于 2023-10-08 - 来自专栏Bypass
甲方安全开源项目收集
前阵子,我发布了一份甲方安全开源清单,不少朋友帮忙反馈,得到了大大的补充,重新整理了一份项目清单。 https://github.com/DefectDojo/django-DefectDojo Fuxi-Scanner:一款开源的网络安全检测工具,适用于中小型企业对企业信息系统进行安全巡航检测。 https://www.ossec.net/ Wazuh:一个免费的,开源的企业级安全监控解决方案,用于威胁检测,完整性监控,事件响应和合规性。 http://www.codeforge.cn/article/331327 Security Onion:免费开源网络安全监控系统。 https://www.kismetwireless.net/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全
3.8K51发布于 2019-07-30 - 来自专栏信安之路
开源安全平台 wazuh 架构介绍
安全圈的大事刚刚结束,安全圈的小伙伴也从加班的阴影中走了出来,这期间,学习写文章投稿的人很少,估计还是忙吧,大考结束之后,大家可以放松一下,然后继续学习新知识,打基础,为了迎接下一次的挑战而做准备。 做安全防御,入侵检测是必不可少的,而入侵检测通常分为网络层面和主机层面,今天就来看一个带有主机入侵检测功能的安全平台,他不止包含主机入侵检测的功能,还包含其他的一些功能,比如:基线漏洞监控、合规性扫描, 这个项目的名称是 WAZUH,官网地址: https://wazuh.com/ 作为一个优秀的开源产品,详细的文档是必不可少的,大家可以前往人家官网查看: https://documentation.wazuh.com 详细的介绍请看: https://documentation.wazuh.com/current/getting-started/architecture.html 日志数据收集 安全平台基本上就是一个日志收集
6.4K70发布于 2019-07-05 - 来自专栏FreeBuf
开源软件安全现状分析报告
然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。 美国首先认识到开源软件安全问题的重要性,早在2006年,美国国土安全部就资助Coverity公司开展“ 开源软件代码测试计划”,针对大量开源软件进行安全隐患的筛查和加固,截至2017年2月,累计检测各种开源软件 图2 10大重要缺陷检出比例 在本次检测的2228个项目中,有高达82.99%的开源项目存在10大重要漏洞,说明这10类缺陷普遍存在,应当作为软件安全保障的重点考虑问题。 在3109行中,再次调用AMF_GetProp函数从obj2中获取数据。在我们的poc中,obj2中实际上存储的是一个double数据,程序将其当作指针进行使用,可能会导致程序访问非法的内存地址。 而据NVD数据统计,截至2017年2月,全球开源软件相关的已知安全漏洞已超过28000个。
2.3K50发布于 2018-02-27 - 来自专栏python基础文章
网络安全——网络层安全协议(2)
(2)广域网:路由器到路由器模式,网关到网关模式。 (3)远程访问:拨号客户机,专网对Internet的访问。 (1)安全体系结构。包含一般的概念、安全需求和定义IPSec的技术机制。 (2)ESP协议。加密IP数据包的默认值、头部格式以及与加密封装相关的其他条款。 (3)AH协议。 SA(安全关联))表示了策略实施的具体细节,包括源/目的地址、应用协议、SPI(安全策略索引)等;SAD为进入和外出包处理维持一个活动的SA列表;SPD决定了整个VPN的安全需求。 ---- 2. (2)在IPSec驱动程序数据库中查找相匹配的出站SA,并将SA中的SPI插人IPSec包头。 (3)对数据包签名(完整性检查);如果要求机密,则另外加密数据包。 (2)通过目的地址和SPI,在IPSec驱动程序数据库中查找相匹配的人站SA。 (3)检查签名,对数据包进行解密(如果是加密包的话)。
90420编辑于 2023-10-15 - 来自专栏信安之路
开源软件安全检测工具 murphysec,让你使用的开源代码更安全
2021年12月,log4j2 漏洞爆发,墨菲安全实验室对 log4j2 的1~4层依赖关系进行了统计分析,可以发现总共有超过173104个组件受该漏洞影响。 2022年3月,墨菲安全实验室连续2天全球首发预警了 Spark&Hadoop RCE漏洞及 Spring Cloud 的表达式注入漏洞;紧接着之后蚂蚁安全研究员又发现 Spring 框架远程命令执行漏洞 关于 murphysec murphysec 是墨菲安全开发的一款开源软件安全检测工具,致力于帮助每一个开发者更安全的使用开源代码。 : https://www.murphysec.com/ 核心功能: 1.化验:准确识别软件中直接依赖和间接依赖的开源组件 2.看病:准确识别这些开源组件存在的安全漏洞及许可证合规风险 3.治疗:为开发者提供简单高效的一键缺陷修复能力 /install.sh -O - | /bin/bash 2.
4.8K10编辑于 2022-05-23 - 来自专栏why技术
火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件
Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统! 01 对开源软件的致命打击 火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。 在目前数据中,Star 数量 Top 10 为: Apache 基金会下的开源项目中,受到 Log4j2 漏洞影响的 Top 10 如下: Java 开发框架中,受到 Log4j2 的影响的 Top 可通过:https://log4j2.huoxian.cn进行在线排查,获取火线安全免费的绝对防御解决方案,火线安全专家全程技术支持。 “洞态”是全球首个开源 IAST 产品,专注于 DevSecOps, 帮助企业发现并解决应用上线前的安全风险。
1.3K10编辑于 2021-12-17 - 来自专栏腾讯云原生团队
【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具
12月9日晚,Apache Log4j2 反序列化远程代码执行漏洞(CVE-2021-44228)细节已被公开,受影响版本为 Apache Log4j 2.x< 2.15.0-rc2。 根据腾讯云容器安全服务TCSS监测,有大量的容器镜像存在该漏洞风险。对于容器环境下该漏洞的应急处置,有着更大的难度。 这种针对线上容器服务的批量处置措施,云鼎实验室开发并开源了一键处置工具(https://github.com/YunDingLab/fix_log4j2),用户可通过以下任一种方式直接快速修复: 命令行 关于腾讯容器安全服务(TCSS) 腾讯容器安全服务(Tencent Container Security Service, TCSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成 、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。
1.1K60编辑于 2021-12-15 - 来自专栏云鼎实验室的专栏
【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具
12月9日晚,Apache Log4j2反序列化远程代码执行漏洞(CVE-2021-44228)细节已被公开,受影响版本为Apache Log4j 2.x< 2.15.0-rc2。 =true(>=2.10+版本,或先升级至2.10+); (2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为:log4j2.formatMsgNoLookups 这种针对线上容器服务的批量处置措施,云鼎实验室开发并开源了一键处置工具(https://github.com/YunDingLab/fix_log4j2),用户可通过以下任一种方式直接快速修复: 命令行 关于腾讯容器安全服务(TCSS) 腾讯容器安全服务(Tencent Container Security Service, TCSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成 腾讯容器安全服务产品团队结合业内最大规模容器集群安全治理运营经验打磨产品,推动行业标准及规范的编写制定,并首发《容器安全白皮书》,对国内容器环境安全现状进行分析总结,助力云原生安全生态的标准化和健康发展
89770编辑于 2021-12-15 - 来自专栏python基础文章
网络安全协议(2)
2.CC体系一共包括3大部分 分别是:信息技术安全性评价通用准则,信息技术安全评价通用方法,通用准则识别协议。 该部分是CC的总体结构简介,定义了信息技术安全性评估的一般概念和原理,并提出了评估的一般模型。整个评估的过程都要遵循这个一般模型。 第2部分:安全功能组件。 作为安全性评估对象的一系列软件、固件或硬件以及它们的文档,如操作系统、防火墙产品、计算机网络、密码模块等,以及相关的管理员指南、用户指南、设计方案等文档。 (2)保护轮廓(PP)。 EAL2:结构性测试级,证明TOE与系统层次设计概念一致。 EAL.3:工程方法上的测试及验证级,证明TOE在设计上采用了积极安全操作系统安全测评研究的工程方法。 EAL.7:形式化地验证设计和测试级,证明TOE的所有安全功能经得起全面的形式化分析 安全级别和组件之间的关系可以用一张表概括,如表1-2所示。
67650编辑于 2023-10-15 - 来自专栏nft市场
智能合约安全——delegatecall (2)
Attack.attack() 函数先将自己的地址转换为 uint256 类型(这一步是为了兼容目标合约中的数据类型)第一次调用 HackMe.doSomething() 函数;2.
37920编辑于 2022-08-03 - 来自专栏渗透测试专栏
渗透测试web安全综述(2)——Web安全概述
互联网刚刚开始是安全的,但是伴随着黑客(Hacker)的诞生,互联网变得越来越不安全。 黑客一词来源于“Hacker”,通常指对于计算机系统有深入的理解,能够发现其中的问题。 但是时代在发展,防火墙技术的兴起改变了互联网安全的格局。尤其是以思科、华为、深信服等代表的网络设备厂商,开始在网络产品中更加重视网络安全,最终改变了互联网安全的走向。 SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。 XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。 type=update,而由于应用程序没有对参数g做充足的过滤且将参数值直接显示在页面中,相当于 weibo.com 在页面中嵌入了一个来自于 2kt.cn的JS脚本。 而这种攻击,却是互联网安全维护人员最为无奈的攻击形式之一,信息泄漏、账户安全、网络安全无疑成为大众最关心的问题。
64820编辑于 2024-09-27 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
前言 本章将会讲解局域网中的数据链路层安全协议 一.局域网数据链路层安全协议 在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。 ---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
44930编辑于 2023-10-15 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
前言 本章将会讲解局域网中的数据链路层安全协议 一.局域网数据链路层安全协议 在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。 ---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
60520编辑于 2023-10-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号