استانداردهای جدید PCI برای امنیت نرم افزارهای پرداخت

انجمن PCI دو استاندارد جدید در حوزه امنیت نرم افزار منتشر کرده است که جایگزین استانداردهای قبلی از جمله PA-DSS خواهد شد. استاندارد اول، “نیازمندی ها و روال های ارزیابی چرخه حیات نرم افزار امن” را بیان می کند.     استاندارد دوم، “نیازمندی ها و روال های ارزیابی نرم افزار امن” را ارائه می… Continue reading “استانداردهای جدید PCI برای امنیت نرم افزارهای پرداخت”

اشتراک گذاری

معرفی پادکست: Silver Bullet Security Podcast

در ادامه معرفی پادکست های مفید، امروز به معرفی یک پادکست بسیار خوب و معروف به نام Silver Bullet Security Podcast می پردازیم. دکتر  Gary McGraw که این پادکست را مدیریت می کند فرد بسیار شناخته شده ای به خصوص در حوزه امنیت نرم افزار است. مدل بلوغ BSIMM و کتابهای متعدد در زمینه امنیت… Continue reading “معرفی پادکست: Silver Bullet Security Podcast”

اشتراک گذاری

معرفی پادکست: Application Security Podcast

در ادامه معرفی پادکست های مفید امنیتی، به معرفی Applicaton Security Podcast می پردازیم. این یک پادکست فنی بسیار خوب در زمینه امنیت نرم افزار بوده و ضمن مصاحبه با افراد صاحبنظر، آخرین اخبار و تکنولوژی های مربوطه را پوشش می دهد.

اشتراک گذاری

یک ارائه درباره توسعه امن برنامه های کاربردی وب

یکی از ارائه های کنفرانس SecAppDev 2018 در خصوص بعضی مکانیزم های امنیتی برنامه های کاربردی وب هست که می تواند برای توسعه دهندگان این برنامه ها مفید باشد. آسیب پذیری هایی مثل Clickjacking، URL Redressing، XSS و نحوه مقابله با آنها بحث شده است. قابلیت هایی که در مرورگرهای مختلف برای پیشگیری از آسیب… Continue reading “یک ارائه درباره توسعه امن برنامه های کاربردی وب”

اشتراک گذاری

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.   این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های… Continue reading “یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات”

اشتراک گذاری

راهنمای امنیت Application Container

NIST سند راهنمای پیاده سازی امن مجازی سازی در سطح سیستم عامل با استفاده از  Application Container رو منتشر کرده. با توجه به محبوبیت  Container ها در محیط های توسعه امروزی، بحث چگونگی پیاده سازی و نگهداری امن اونها هم اهمیت خاصی پیدا کرده. “Application container technologies, also known as containers, are a form of… Continue reading “راهنمای امنیت Application Container”

اشتراک گذاری

عدم تصویب پیش نویس اول OWASP Top 10 2017

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر برنامه های وب موسوم به OWASP Top 10 2017 که در این یادداشت معرفی کرده بودم مورد تصویب قرار نگرفته است. دامنه های A1, A2, A3, A4, A5, A6, A8, A9 از نسخه ۲۰۱۳ بدون تغییر باقی مانده اند. دامنه های A7 و A9 که در نسخه… Continue reading “عدم تصویب پیش نویس اول OWASP Top 10 2017”

اشتراک گذاری

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP

نسخه جدید OWASP Top 10 یا ده آسیب پذیری برتر OWASP به صورت پیش نویس منشتر شده. این لیست از سال ۲۰۱۳ به روز نشده بود. سه تغییر عمده در ااین نسخه پیشنهاد شده:دامنه های A7 و A4 با هم ادغام شده و دامنه A4 جدید رو ساختن. دامنه های A7 و A10 هم عوض… Continue reading “پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP”

اشتراک گذاری

افشای اطلاعات محرمانه از طریق حمله Web Cache Deception

یک روش جدید سوء استفاده از سرویس Web Cache برای دستیابی به اطلاعات محرمانه ای که به طور معمول قرار نیست Cache شوند، توسط Omer Gil معرفی شده و با استقبال زیادی هم مواجه شده. این روش خلاقانه مستلزم این است که نفوذگر و قربانی از یک سرویس Cache یکسان استفاده کنند و قربانی لینک… Continue reading “افشای اطلاعات محرمانه از طریق حمله Web Cache Deception”

اشتراک گذاری

اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده… Continue reading “اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار”

اشتراک گذاری