更多漏洞,更多问题:第三方应用程序的信任成本
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
