2016 年发现的 Equifax 安全问题
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門に役立つリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
