更多漏洞,更多问题:第三方应用程序的信任成本
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
我们的主要使命是确保软件及其开发的安全,这已经不是什么秘密了;从生产之初就考虑到了安全性。我们的愿景为软件创建设定了新的基准,使开发人员具备检测漏洞代码的技能和知识 在写作过程中 并在它成为问题之前对其进行修复。
因此,考虑到这一点,你可能会认为我们很高兴听到影响世界各地公司的新数据泄露、网络攻击和被利用的代码——这些事件无疑凸显了我们在多个垂直领域对服务的需求。事实是,这非常令人沮丧。很明显,作为一个行业,我们一次又一次地犯同样的错误,因为大多数安全教育还不够强大,不足以最大限度地降低风险和阻止这些漏洞。
最新的数据泄露受害者是 票务管理员。如果你是成千上万受影响的客户中的一员,你会收到一封电子邮件,通知你该事件并更改密码。没有人指望仅仅因为购买音乐会或体育赛事的门票就侵犯自己的个人数据,但我们在这里。
这对每个人来说都是一个糟糕的情况;不利于Ticketmaster的声誉和彻头彻尾的糟糕客户体验。但是,有一个问题:这并不完全是他们的错。
你看,该公司使用了Inbenta Technologies的第三方客户支持应用程序的服务。英国Ticketmaster发现该产品包含恶意代码,导致其全球客户数据中有5%遭到泄露。
黑客究竟是如何设法利用这个系统的?他们 操作了单行 JavaScript 代码,由 Inbenta Technologies 根据 Ticketmaster 的要求定制。根据Inbenta的说法,该代码是在一个不是为容纳而构建的页面上使用的,如果他们知道的话,他们会将其识别为安全漏洞。
该漏洞本身本质上是文件上传/存储库安全问题,其中只有一个漏洞可以影响加载相同代码的每个站点。可以修改代码,收集个人数据并将其重新路由给攻击者,这仅供初学者使用。这是一个具有深远伤害潜力的简单漏洞,也是我们正在努力防御的问题 一系列平台内训练练习 对于开发人员来说。
当然,如果不依赖某些第三方应用程序,几乎不可能经营企业。但是,你无法控制他们如何构建软件,他们的代码的安全强度基本上为零。它变成了信任活动。如果你的第三方合作伙伴在安全编码方面不够严格,你可能会为漏洞敞开大门 您的公司。
那么,解决方案是什么?简而言之:我们都必须做得更好。我们必须停止将安全视为公司创新道路上的刺激性障碍。
为开发团队提供正确的工具和知识来拥抱安全性,阻止不良代码的发生,这比你想象的要容易得多。我们很高兴看到世界上许多最大和最知名的金融、电信、零售和科技公司采用这种新方法,但它不应该是财富100强公司在安全教育方面采取措施的唯一领域。每家员工中都有开发人员的公司都需要实施培训,以帮助团队安全地编码。
我最近与我们的首席技术官马蒂亚斯·马杜共同撰写的白皮书展示了在组织中建立安全文化的好处。我们将详细介绍为什么它是解锁创新、保持敏捷性并减少不安全代码的财务影响的关键。
你会发现一些小贴士,包括:
* 如何使安全培训对开发人员具有相关性和吸引力
* 如何教开发人员识别和修复自己的问题
* 如何帮助开发人员安全地构建自己的代码。
我邀请你参加 下载此资源 并使用它来维护组织的安全,培养团队的技能,并站在制定更高代码标准的最前沿。
我们必须停止将安全视为公司创新道路上的刺激性障碍。
%20(1).avif)
.avif)
