写点什么

漏洞修复

0 人感兴趣 · 20 次引用

  • 最新
  • 推荐

4 步消除漏洞积压

用户头像
SEAL安全
2022-11-04

不断增长的漏洞积压,加上对修复哪些漏洞以及何时修复缺乏明确性,可能导致一系列包括浪费开发人员的时间,延迟上市时间,以及由于修复时间长而增加企业攻击面等问题。当代行业和环境要求快速、频繁地推出功能性和安全代码的压力一直存在,而这也倒是需要开发

平均 110 万个漏洞被积压,企业漏洞管理状况堪忧

用户头像
SEAL安全
2022-11-03

在软件安全的世界中,企业在软件开发生命周期中都面临着漏洞带来的巨大挑战。开发人员每天都需要确保交付没有漏洞的代码,因此他们需要花费大量的时间来解决首要处理的漏洞问题以确保企业软件安全。然而确保产品没有漏洞缺陷的需求扼杀了创新的步伐,延迟软件

https://static001.geekbang.org/infoq/32/320d0f684a1d05e4b5fe433483e43e1b.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

漏洞管理流程

用户头像
SEAL安全
2022-09-20

在之前的文章中,我们分别讨论了漏洞修复和 CVSS 评分系统。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中,我们将一起系统地了解漏洞管理的概念及过程。

通用漏洞评分系统 (CVSS) 系统入门指南

用户头像
SEAL安全
2022-09-19

通用漏洞评分系统 (CVSS) 是一个公共框架 ,用于评估软件中安全漏洞的严重性。这是一个中立的评分系统,让所有企业能够使用相同的评分框架对各种软件产品(从操作系统、数据库再到 Web 应用程序)的 IT 漏洞进行评分。

漏洞修复实用指南

用户头像
SEAL安全
2022-09-15

首先我们来定义漏洞修复这个概念。开发人员和安全团队为了防止外部恶意攻击,使用一些方法来识别、优先考虑、修复和监控漏洞,这个过程就是漏洞修复了。

https://static001.geekbang.org/infoq/2f/2f6c0ccea28fbcc78a0fc9756a156ce0.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

如何建立开源战略

当今,开源组件已经成为软件世界的重要组成部分。根据Gartner统计,85%的公司正在使用开源软件。但开源组件的使用越广泛,风险也随之逐渐上升。然而,尽管许多公司害怕被开源安全问题所波及,但仍未建立相应的战略。

风险组件已经升级到最新版本,仍然提示风险,如何快速解决——kaptcha 安全漏洞

用户头像
墨菲安全
2022-08-24

近期有很多小伙伴问了个相同的问题,风险组件已经是最新版本了,检测还是有漏洞,怎么能快速解决呢...

https://static001.geekbang.org/infoq/6b/6b2a94fd40f3a0ce15e9a7a1a408ce3c.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

漏洞扫描器并非 100% 靠谱,那么容器镜像安全又当如何保证?

用户头像
青藤云安全
2022-05-16

长期以来,修补软件漏洞是维护部署代码安全的重要内容。如今,随着传统应用转向云原生容器化部署,打补丁的过程发生了巨大的变化。

https://static001.geekbang.org/infoq/89/89afa04481268daf198b862db75921a1.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-03 微软漏洞通告

用户头像
火绒安全
2022-03-14

微软官方发布了2022年03月的安全更新。本月更新公布了92个漏洞,包含29个远程执行代码漏洞、25个特权提升漏洞、6个信息泄露漏洞、4个拒绝服务漏洞、3个身份假冒漏洞、3个安全功能绕过漏洞以及1个篡改漏洞。

https://static001.geekbang.org/infoq/4d/4d58fcc00f812c929bffa00cd85400b7.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

2022-02 微软漏洞通告

用户头像
火绒安全
2022-02-10

微软官方发布了2022年02月的安全更新。本月更新公布了70个漏洞,包含17个特权提升漏洞、16个远程执行代码漏洞、6个信息泄露漏洞、5个拒绝服务漏洞、3个身份假冒漏洞、3个安全功能绕过漏洞以及1个篡改漏洞,其中50个漏洞级别为“Important”(严重)。

Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)

在 Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。

漏洞学习篇:CVE 漏洞复现

Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。在其 2.4.49 版本中,引入了一个路径体验,满足下面两个条件的 Apache 服务器将受到影响:

https://static001.geekbang.org/infoq/ba/ba3c6405aa2892c3af0b3f5b43a1798b.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

利用漏洞修复漏洞:青藤提供的「Log4j 命令注入漏洞(CVE-2021-44228)」【免重启】在线热补丁服务现已上线!

用户头像
青藤云安全
2021-12-13

史诗级的漏洞CVE-2021-44228爆发以来,各安全厂商提供了各种漏洞检测工具,也提供了各种漏洞修复方案。但是在修复过程中遇到无尽的坑,比如更新版本需要重启服务也不见得那么方便,改代码需要一定周期,临时修复方法错误(系统环境变量未生效),Log4j 2.0-2

https://static001.geekbang.org/infoq/ac/acbea89544734dc6c7df20e3e927af02.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

Apache APISIX request_uri 变量控制不当,存在路径穿透风险公告(CVE-2021-43557)

在 Apache APISIX 2.10.2 之前的版本中,使用 Apache APISIX Ingress Controller 中$request_uri 变量存在「绕过部分限制」导致路径穿透风险的问题。

https://static001.geekbang.org/infoq/e6/e6e6e84350b319c1753950993d027080.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

鉴释人物丨专访首席科学家李隆: 重一步业务逻辑验证,省百步漏洞补缺

用户头像
鉴释
2021-07-22

今天我们与鉴释首席科学家李隆博士就《用于验证超出常见漏洞的业务逻辑的工具》一同讨论。

https://static001.geekbang.org/infoq/e1/e11ed89dccf3971dcf558c9a57258379.webp?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

【又是干货】史诗级漏洞挖掘的过程快 get 一下

本文记录了针对前台RCE的挖掘过程,由于该CMS前几天才做了修复,所以将挖掘过程写出来

https://static001.geekbang.org/infoq/f2/f2247dda455725ff9ebf2bd82b9534e5.png?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

大佬讲【暴力破解】漏洞的原理、利用和防范

暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大

https://static001.geekbang.org/infoq/41/4164c97b03a3be4341278543a2fba0c2.webp?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

干货!!学习 CSRF 跨站请求伪造,看这一篇就够了

CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。

https://static001.geekbang.org/infoq/2c/2c47af2a57168d42021e2d1e854c0399.jpeg?x-oss-process=image%2Fresize%2Cw_416%2Ch_234

全网最详细 XSS 跨站脚本攻击,不是过来打死我!!

跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户

提升漏洞修复率,DevSecOps 真的很有一套

​​摘要: 在业务应用交付规模不断扩大、交付速度不断提高、开发运营场景一体化的大环境下,安全问题你真的重视么?

漏洞修复_漏洞修复技术文章_InfoQ写作社区