1qazcse-优快云博客

原创 fortify+DVWA靶场

然后我们点击 exe 程序来帮助我们下载。我们可以在这里发现一个 SQL 注入漏洞。等扫描完成后,我们进行代码审计即可。现在我们开始审计 DVWA 靶场。完成后我们就可以获取到一份报告了。下载好压缩包后,解压到本地。现在我们开始审计另一个漏洞。现在我们就可以导出报告了。

2023-04-18 15:34:10 655

原创 C/C++ 安全编程基础

要避免数组越界访问，我们需要始终保证数组下标是否小于数组大小。使用循环结构来遍历数组，而不是手动计算数组下标。在定义数组时，始终指定数组大小。C/C++ 在这几年依旧是火热的编程语言, 在很多方面存在者利用,并且因为各种原因也存在者各种安全问题。C/C++ 安全编程基础。

2023-04-18 15:29:29 651

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SgUW7Dkh-1681720068005)(C:\Users\14894\Desktop\存活主机\Pic\clip_image002.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7bfrKinO-1681720068006)(C:\Users\14894\Desktop\存活主机\Pic\clip_image004.jpg)]

2023-04-17 16:28:06 747

原创简述DevSecOps 优势和最佳实践

DevSecOps 是一种软件工程方法，该方法定义了在软件开发过程中我们应当如何进行开发，如何进行满足安全要求，如何运行，进行了一系列的定义。该方法可以帮助我们更快的安全的完成高质量的代码。

2023-03-18 08:54:58 150

原创如何区分代码审计和软件测试？

软件测试：软件测试是在开发人员开发完成后，通过设计以及生成软件处理的数据，这些数据包括正常数据以及违规数据，然后测试人员使用工具将其提交软件，并观测其输出是否符合预期。代码审计：代码审计是在开发人员开发完成后，对开发的全部代码进行审查，从中审查查看代码中存在的问题。

2023-03-18 08:54:16 288

原创阐述OWASP TOP10的演变过程

在 2017 中添加了 XXE 反序列化不足的日志记录和监控。TOP 10 的组成逐渐完整化，考虑到 web 开发的方方面面。从 TOP 10 的删除中我们也可以看出当前网站的维护意识。A2 失效的身份验证和会话管理失效的身份验证和会话管理。A10 未验证的重定向和转发未验证的重定向和转发。A10 未验证的重定向和转发不足的日志记录和监控。A2 失效的身份验证和会话管理失效的身份验证。A9 使用已知漏洞的组件不足的日志记录和监控。A9 使用已知漏洞的组件使用已知漏洞的组件。

2023-03-18 08:53:40 456

原创查阅资料，对比DevSecOps的安全工具。

STAT 和 DAST 区别。

2023-03-18 08:53:33 374

原创如何划分软件安全威胁的分类？

软件安全威胁分类。

2023-03-18 08:53:02 179

原创综述代码审计在软件安全中的重要性和意义

在我们的开发中我们分为：软件开发工程师软件测试这几个类别，开发工程师主要负责实现功能，但是开发人员对一些漏洞不清楚，导致在源代码中添加了相应的内容，因此需要代码审计人员的参与，代码审计可以理解为是由专业人士，对程序员所写的代码进行一次审查，以发现其中存在的问题。那么代码审计为什么重要？代码审计又可以为我们提供什么。这属于白盒审计的一部分。

2023-03-18 08:50:31 414