2016 年发现的 Equifax 安全问题
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年在Equifax网站上发现的安全问题仍未修复。这是识别问题的一步,但修复问题却是一项更大的挑战。重新研究代码、理解上下文和修复问题需要时间和技能。
很明显,Equifax的开发人员承受着很大的压力,许多已知的漏洞没有得到修复。不幸的是,这种缺乏行动的态度现在已经得到了最糟糕的回应。
需要从一开始就融入安全性,开发人员需要技能、培训和 IDE 内工具,以最大限度地减少写入已知漏洞。它需要特定的语言和框架知识来修复已发现的问题。修复 XSS 问题的一般原则保持不变,但是实际实现取决于现有的框架。
如果你想就如何修复 Struts 中的 XSS 问题进行一些交互式培训,请查看: https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/struts
根据一位名为x0rz的研究人员的推文,跳到2016年,一位安全研究人员在Equifax的主要网站上发现了一个称为跨站脚本(XSS)的常见漏洞。此类XSS错误允许攻击者向Equifax客户发送特制的链接,如果目标点击并登录该网站,则可以向黑客泄露其用户名和密码。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
