より多くの脆弱性、より多くの問題:サードパーティ製アプリケーションの信頼コスト
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
私たちは、安全を企業のイノベーションの道における刺激的な障害と見なすことを止めなければならない。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
私たちは、安全を企業のイノベーションの道における刺激的な障害と見なすことを止めなければならない。
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
私たちは、安全を企業のイノベーションの道における刺激的な障害と見なすことを止めなければならない。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
私たちは、安全を企業のイノベーションの道における刺激的な障害と見なすことを止めなければならない。
%20(1).avif)
.avif)
