Aggregator

Decrypting Fortinet's FortiOS 7.0.x

Grey Noise
11 months 4 weeks ago
Curious about decrypting Fortinet's FortiOS 7.0.x firmware? In the latest Grimoire post, we delve into the technical details of doing just that, revealing a hardcoded key used in the ChaCha20 encryption algorithm and the steps required to extract the decrypted rootfs.gz file.

SDL 25/100问:应该如何选型代码安全扫描工具?

我的安全视界观
1 year ago
一般在做选型时,我通常会以最终要实现的目标来分析,然后再结合一些行业规范及最佳实践,整合起来便能找到恰当的参考要素。故,可从检出效果和便利性角度出发: 1、检测效果:      1)漏洞检出率:应能够覆盖尽可能多的开发语言,能扫描出尽可能多的漏洞类型和数量;      2)代码扫描速度:快速的扫描有助于提高开发效率,减少等待时间,更容易嵌入开发流程;      3)自定义规则支持情况:应支持自定义安全规则,以适应特定业务场景和安全需求,如加白和调优; 2、使用便利性:    1)集成性:应具备与其他开发工具(如CI/CD管道)的集成能力;    2)自动化能力:应支持触发自动化扫描,减少人为干预,提高扫描效率。 至于其他相近的指标,如误报率、漏报率等,也是在关注范围内。不过与检出率紧密相关,从正向指标来看选取检出率即可。此外在做POC时,建议:不要只看工具在一些知名漏洞靶场上的表现,最好结合真实的生产系统进行测试。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SDL与DevSecOps有何异同? 如何在不同企业实施SDL? SAST误报太高,如何解决? SDL需要哪些人参与? 在devops中做开发安全,会遇到哪些问题? 如何实施安全需求? 安全需求,有哪些来源? 安全需求怎么实现自动化? 实施安全需求,会遇到哪些难题? 安全需求和安全设计有何异同及关联? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 有哪些威胁建模工具? 如何开始或实施威胁建模? 威胁建模和架构安全评审,有何异同? 编码阶段,开展哪些安全活动? 如何选择静态代码扫描(SAST)工具? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 如何制定一份有用的开发安全规范? SDL 24/100问:如何做到开发安全规范的有效实施? 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

Managing Common and AI-Based Application Dependencies During a Migration

Netscout
1 year ago
Applications, like stars that form constellations, need each other—they’re interdependent. During migration, however, this dependence can sometimes be a service’s greatest strength and weakness. Modern applications are complex, often consisting of multiple interconnected components, each with its own set of...
Anthony Cote

Managed ad