Microsoft开源软件安全实践0x00背景帮助您管理第三方组件中的安全风险的工具和技术。使用开源从操作系统到用户界面小部件，从后端数据分析到前端图形，现代软件项目越来越依赖于开源软件。开源软件带来了一些惊人的好处，但是有时它们伴随着必须理解和管理的安全风险。在大多数情况下，使用任何第三方软件组件（无论是开源软件还是商业软件）都可能产生这些风险。了解Microsof...

0x00背景fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过autoType限制，风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。0x01影响范围fastjson < 1.2.69

0x00 背景0x01 技术中立的网络爬虫行为可能构成犯罪0x02网络爬虫行为侵犯公民个人信息“非法”性的形式判断0x03 网络爬虫行为侵犯公民个人信息“非法”性的实质判断0x04 参考文章https://mp.weixin.qq.com/s/O9ue3cZjw5kfVFyFkoaeUg...

0x00 背景CMMI的全称为Capability Maturity Model Integration，即能力成熟度模型集成。CMMI是CMM模型的最新版本。早期的CMMI（CMMI-SE/SW/IPPD），SEI在部分国家和地区开始推广和试用。随着应用的推广与模型本身的发展，演绎成为一种被广泛应用的综合性模型。为了应对不断变化的全球化商业格局的挑战，CMMIDEVV2.0将通过标杆...

0x00背景近期 全国信息安全标准化技术委员会 大数据安全标准特别工作组发布了人工智能安全标准化白皮书（2019版），针对人工智能安全的问题进行一个全面的探讨，经细读该白皮书后，留一下此笔记。原文版权，来源：全国信息安全标准化技术委员会 大数据安全标准特别工作组0x01 概述人工智能（Artificial Intelligence，简称AI），阿尔法狗对战中国的围棋高手，...

0x00背景计算机系统技术报告美国国家标准技术研究院（NIST） 的信息技术实验室（ITL） 通过为美国的测量和标准基础设施提供技术指导， 促进了美国经济和公共福利的发展。 ITL 开发测试、 测试方法、参考数据、 概念验证、 以及技术分析， 促进信息技术的开发和生产使用。 ITL 的职责包括制定管理、 行政、 技术和物理标准以及指南， 以经济有效地保护联邦信息系统中除国家安全相关信息以外的...

0x00前言对于windows的用户权限、用户组权限等问题，windows 的文件/文件夹的所属权限控制一点也不逊色于linux/Uinx, 并且不是一般人所能可以轻松控制的。下面就来说说，我们在windows文件权限控制的一些问题。0x01 所有者1 右击文件夹【browsers】，这里我们可以选择右击某个文件或者某个文件夹或者整个磁盘。2 【安全】-->>【高级】-->>【所有

0x00 背景威胁建模工具是 Microsoft 安全开发生命周期 (SDL) 的核心要素。潜在安全问题处于无需花费过多成本即可相对容易解决的阶段，软件架构师可以使用威胁建模工具提前识别这些问题。因此，它能大幅减少开发总成本。此外，我们设计该工具时考虑到了非安全专家的体验，为他们提供有关创建和分析威胁模型的清晰指导，让所有开发人员都可以更轻松地使用威胁建模。通过使用Microsoft th...

0x00背景介绍威胁建模工具是 Microsoft 安全开发生命周期 (SDL) 的核心要素。潜在安全问题处于无需花费过多成本即可相对容易解决的阶段，软件架构师可以使用威胁建模工具提前识别这些问题。因此，它能大幅减少开发总成本。此外，我们设计该工具时考虑到了非安全专家的体验，为他们提供有关创建和分析威胁模型的清晰指导，让所有开发人员都可以更轻松地使用威胁建模。0x01使用场景...

0x00 背景CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。恶意攻击者可以利用漏洞攻击做到：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账……造成的问题包括：个