OWASP Application Security Verification Standard 3.1中文翻译

目录 SOLUTION

闲来看看ASVS,竟然有更新,要上3.1了,仍在整理中,还没打好版本。

大致过了一遍更新的内容,整体感觉是ASVS的角度更加全面,也更加实用了,之前的版本感觉主要是在架构师和开发者的角度,怎么去规避常见风险,给我一种合规的感觉。这个版本加入的内容添加了很多攻击者视角的内容,从常见或最新攻击方式,逆向推导出verification standard,更适合作为一个实用的checklist去用了;另外也看到更多的考虑开发流程上的事了,比如CI/CD;移动端部分的内容从ASVS移出去了,应该会有个专门的项目讲移动:OWASP Mobile Application Security Verification Standard

等官方版本打出来后,再翻一波:https://www.gitbook.com/book/m4skm0b/owasp_asvs_3-1_zh-cn

社工密码规则整理

目录 HACK

俗话说:人是最大的弱点,所以密码是个人安全和企业安全挥之不去的话题。

Mr. Robot中有这么一幕,Elliot通过特征字符串,生成一个字典,跑完后失败,说:这个年纪的人应该不会用别的密码,然后继续收集特征字符串,发现了目标养了个宠物,结果密码就是宠物名加数字组合。那么这个针对性字典如何生成,有什么规则或者规律,是这篇文章的主题。

继续阅读 “社工密码规则整理”

自动化业务逻辑漏洞检测构想

目录 HACK

谈自动化前先谈人工如何检测业务逻辑漏洞,通常分为3步:
1、业务场景建模
2、业务流程梳理
3、风险点识别
详情见业务安全测试流程

自动化检测也遵循这个流程,那么面临几个问题:
1、业务场景建模:是否需要建模?如何建模?
2、业务流程梳理:通过全自动的主动梳理?还是半自动的被动梳理?如何梳理?
3、风险点识别:能力范围?如何识别?

继续阅读 “自动化业务逻辑漏洞检测构想”