استانداردهای جدید PCI برای امنیت نرم افزارهای پرداخت

انجمن PCI دو استاندارد جدید در حوزه امنیت نرم افزار منتشر کرده است که جایگزین استانداردهای قبلی از جمله PA-DSS خواهد شد. استاندارد اول، “نیازمندی ها و روال های ارزیابی چرخه حیات نرم افزار امن” را بیان می کند.     استاندارد دوم، “نیازمندی ها و روال های ارزیابی نرم افزار امن” را ارائه می… Continue reading “استانداردهای جدید PCI برای امنیت نرم افزارهای پرداخت”

اشتراک گذاری

یک ارائه درباره توسعه امن برنامه های کاربردی وب

یکی از ارائه های کنفرانس SecAppDev 2018 در خصوص بعضی مکانیزم های امنیتی برنامه های کاربردی وب هست که می تواند برای توسعه دهندگان این برنامه ها مفید باشد. آسیب پذیری هایی مثل Clickjacking، URL Redressing، XSS و نحوه مقابله با آنها بحث شده است. قابلیت هایی که در مرورگرهای مختلف برای پیشگیری از آسیب… Continue reading “یک ارائه درباره توسعه امن برنامه های کاربردی وب”

اشتراک گذاری

راهنمای امنیت Application Container

NIST سند راهنمای پیاده سازی امن مجازی سازی در سطح سیستم عامل با استفاده از  Application Container رو منتشر کرده. با توجه به محبوبیت  Container ها در محیط های توسعه امروزی، بحث چگونگی پیاده سازی و نگهداری امن اونها هم اهمیت خاصی پیدا کرده. “Application container technologies, also known as containers, are a form of… Continue reading “راهنمای امنیت Application Container”

اشتراک گذاری

عدم تصویب پیش نویس اول OWASP Top 10 2017

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر برنامه های وب موسوم به OWASP Top 10 2017 که در این یادداشت معرفی کرده بودم مورد تصویب قرار نگرفته است. دامنه های A1, A2, A3, A4, A5, A6, A8, A9 از نسخه ۲۰۱۳ بدون تغییر باقی مانده اند. دامنه های A7 و A9 که در نسخه… Continue reading “عدم تصویب پیش نویس اول OWASP Top 10 2017”

اشتراک گذاری

پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP

نسخه جدید OWASP Top 10 یا ده آسیب پذیری برتر OWASP به صورت پیش نویس منشتر شده. این لیست از سال ۲۰۱۳ به روز نشده بود. سه تغییر عمده در ااین نسخه پیشنهاد شده:دامنه های A7 و A4 با هم ادغام شده و دامنه A4 جدید رو ساختن. دامنه های A7 و A10 هم عوض… Continue reading “پیش نویس نسخه ۲۰۱۷ ده آسیب پذیری برتر OWASP”

اشتراک گذاری

اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار

مرکز طراحی امن وابسته به IEEE Computer Society با هدف تأکید بر طراحی امن سیستم های کامپیوتری (به جای تمرکز صرف بر یافتن باگ ها از طریق تست نفوذ) توسط گروهی از متخصصان امنیت نرم افزار از جمله دکتر Gary McGraw و با حمایت شرکت های مطرح مثل گوگل، توییتر، EMC و … ایجاد شده… Continue reading “اجتناب از ۱۰ ایراد برتر امنیتی در طراحی نرم افزار”

اشتراک گذاری