基于AppSec USA 的调查,各种Code Review方法找出的漏洞数量对比如下:

可以看出,人工Code Review发现漏洞的效果很明显,应该被纳入公司SDLC流程

何时做Code Reivew:

代码提交前
代码合入时

Code Review前的准备:

安全代码审计应当发现应用程序的常规安全漏洞以及业务逻辑漏洞。

对于软件开发者来说,Code[……]

继续阅读

FastCGI简介
FastCGI是用于让Web服务器与应用程序进行通信的二进制协议(而不是人类可读的文本协议)。 它是早期的通用网关接口(CGI)的变体。 FastCGI的主要目的是减少Web服务器和CGI程序之间的接口相关的资源开销,从而使服务器在单位时间内能够处理更多的Web请求。

FastCGI是CGI协议的改进,它可以持续执行,而不需要像CGI一样,每次都需要重新fork,正因为如[……]

继续阅读

TF-IDF算法介绍

TF-IDF(Term Frequency–Inverse Document Frequency),一种词频计算算法,等于某词在文档中出现概率 x 该词在所有文档中出现的概率的对数,即TF x IDF。

其中:TF和IDF的具体计算公式如下

上式中n(ij)是该词在文件d(j)中出现的次数,而分母则是在文件d(j)中所有字词的出现次数之和。

[……]

继续阅读

CGI简介
在计算机行业,CGI是Common Gateway Interface 的缩写,它为Web服务器提供了一套标准的协议(参看RFC3875),以便Web服务器能够像执行终端应用程序(也成为命令行程序)一样来执行程序,这些运行在Web服务器上的程序,通常用于动态的生成Web页面。这些程序通常被成为CGI脚本或者直接简称为CGI。

举例来说,来自客户端的HTTP POST请求会将通过标[……]

继续阅读

原则1 最小攻击面

在一些web安全防护建议中经常会提到“关闭不必要对外开放的端口”,这就是最小攻击面的一项措施。在网络攻击的生命周期中一个重要环节就是信息收集,这个环节往往也是黑客耗费时间精力最大的一个环节,对最终黑客的攻击成果起了至关重要的影响,越是有经验的黑客,会花更多的时间和精力在信息收集上面,这步做的好,后面就能一击命中。

当我们最小化攻击面这个安全原则做的好,就会大大影响黑[……]

继续阅读