漏洞与安全设计

演示了一种利用 CVE-2022-32947 攻击 macOS 的黑客技术。该演示由 Lina 和 Cyan 执行，他们在 GitHub 上的视频中演示了该.

这是作者对 2023 年运行自己的根证书颁发机构的美好世界的短暂尝试……它能在 Apple 设备和 Linux 浏览器中使用。 .

Horcrux 是一款允许用户将文件分割成加密片段的工具，从而无需记住密码。 它使用 Shamir 秘密共享方案将.

Free Download Manager是 Linux 上管理下载的流行工具，其官方linux下载版本存在后门。这个恶意包是通过官方网站传播，导致机器被感.

登录到 Web 应用程序时，会话不会永远保持有效。通常，会话在登录后的固定时间后或用户闲置一段时间后过期。这些时间应该是多长？ .

Open Worldwide Application Security Project (OWASP) 是一个致力于提高软件安全性的非盈利基金会。 <.

管理密码、密钥和其他敏感信息对于保护数据和系统至关重要，但跨不同环境、平台和团队进行管理具有挑战性。以下是有关选择正确方法的一些指导。 .

在本文中，我们展示了 Spring 如何为在我们的应用程序中启用 CORS 提供支持。 我们从控制器的配置开始。我们看到我们只需要添加注释@Cross.

可用于安全测试，包括： 匿名隐藏工具 信息收集工具 词表生成器 无线攻击工具 SQL注入工具 .

在过去两年中，我花了很大一部分时间研究、验证、修补和更新基于 JVM 的大型企业代码库。这不好玩。我的目标是创建一个关于该主题的综合资源，以便面临类似挑战的.

使用OSV-Scanner查找影响你项目依赖关系的现有漏洞。 OSV-Scanner提供了一个官方支持的OSV数据.

无论API是从无到有还是从第三方来源集成，确保其安全都需要有组织的、积极的端到端可视性。API在软件交付生命周期中占有重要地位，其安全性取决于CI/CD工作.

该漏洞已被修改，目前正在进行重新分析。 Apache Commons Text执行变量插值，允许属性被动态地评估和.

JSON Web Token 或 JWT 作为服务之间安全通信的一种方式而闻名。 JWT 有两种形式：JWS 和 JWE，它们之间的区别在于 ： .

多租户数据库中的授权是许多公司必须处理的事情，在以前的公司中，我看到授权可能以最常见的方式实现：附加WHERE user_id = $USER_ID到查询。.

美国商务部的国家标准与技术研究院 (NIST) 公布了其六年竞赛的第一组加密工具获胜者。目的是抵御未来量子计算机的攻击，这些加密算法可以抵抗量子计算机的破解.

流行的Fastjson库中最近修补的一个高严重性安全漏洞，该漏洞可能被利用来实现远程代码执行。 .

密码学处理数字数据的实际保护。它是指基于数学算法的机制设计，提供基本的信息安全服务。您可以将密码学视为建立一个广泛的工具包，其中包含安全应用程序中的不同技术.

在本文中，您将学习如何在 Kubernetes 上创建安全的 HTTPS 网关。我们将使用 .

当我在PKC工作时，我们的团队做了超过20次的代码审计，其中许多是为刚刚进入A轮或B轮的初创公司做的（那通常是当他们有了现金，并意识到在关注产品的市场适应性.

基于云的存储库托管服务 GitHub 周五分享了上个月 .

每当您需要在应用程序中实现密码哈希或散列时，您应该牢记一些最佳实践。 永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库！密.

ddosify是用Golang编写的高性能负载测试工具： 协议不可知 - 目前支持HTTP、HTTPS、HTTP/2。其他协议正在进.

本教程将引导您完成使用 TLS 身份验证保护您的应用程序的过程，仅允许基于其证书的某些用户进行访问。这意味着您可以选择允许哪些用户调用您的应用程序。 .

carg.

在一个软件漏洞被公开披露之前，它被称为 "零日"，因为软件制造商可以开发和发布补丁的时间为零，而防御者开始监测该漏洞的时间为零。反过来，攻击者用来利用这种漏.

尝试使用低效技术保护前端应用程序可能很危险。 我从不同的来源（Callstack、Jscrambler、Tabris、Nativescript、Rea.

美国国土安全部启动“Hack the DHS”漏洞赏金计划，为其工作的 450 多名安全研究人员发现了超过 122 个漏洞，其中 27 个被认为是关键漏洞。.