应用程序安全 on 办公AI智能小助手 https://blog.qife122.com/tags/%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8/ Recent content in 应用程序安全 on 办公AI智能小助手 Hugo zh-cn qife Mon, 05 Jan 2026 06:41:18 +0800 GitHub增强安全防护:未列出的代码片段中的密钥泄露将被报告 https://blog.qife122.com/p/github%E5%A2%9E%E5%BC%BA%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4%E6%9C%AA%E5%88%97%E5%87%BA%E7%9A%84%E4%BB%A3%E7%A0%81%E7%89%87%E6%AE%B5%E4%B8%AD%E7%9A%84%E5%AF%86%E9%92%A5%E6%B3%84%E9%9C%B2%E5%B0%86%E8%A2%AB%E6%8A%A5%E5%91%8A/ Mon, 05 Jan 2026 06:41:18 +0800 https://blog.qife122.com/p/github%E5%A2%9E%E5%BC%BA%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4%E6%9C%AA%E5%88%97%E5%87%BA%E7%9A%84%E4%BB%A3%E7%A0%81%E7%89%87%E6%AE%B5%E4%B8%AD%E7%9A%84%E5%AF%86%E9%92%A5%E6%B3%84%E9%9C%B2%E5%B0%86%E8%A2%AB%E6%8A%A5%E5%91%8A/ <h2 id="从今天起github将把在未列出的github-gists中发现的任何公开泄露的密钥报告给相应的密钥扫描合作伙伴">从今天起,GitHub将把在未列出的GitHub Gists中发现的任何公开泄露的密钥报告给相应的密钥扫描合作伙伴。</h2> <p>GitHub Gists可以是已列出的(带有公开标签)或未列出的(带有秘密标签)。 并不存在所谓的私有GitHub Gist,所有Gist都可以被任何拥有URL的人查看。由于这种常见的误解,秘密Gists成为了密钥泄露的一个重大盲区。在GitHub Gists中泄露的密钥应被视为与任何其他公开泄露的密钥一样。</p> CVE-2025-52691漏洞检测:针对SmarterMail任意文件上传漏洞的检测方法与脚本 https://blog.qife122.com/p/cve-2025-52691%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8B%E9%92%88%E5%AF%B9smartermail%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E7%9A%84%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95%E4%B8%8E%E8%84%9A%E6%9C%AC/ Tue, 30 Dec 2025 17:49:25 +0800 https://blog.qife122.com/p/cve-2025-52691%E6%BC%8F%E6%B4%9E%E6%A3%80%E6%B5%8B%E9%92%88%E5%AF%B9smartermail%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E7%9A%84%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95%E4%B8%8E%E8%84%9A%E6%9C%AC/ <h1 id="cve-2025-52691smartermail任意文件上传漏洞检测">CVE-2025-52691:SmarterMail任意文件上传漏洞检测</h1> <p>SmarterMail Build 9406及更早版本存在任意文件上传漏洞。未经身份验证的攻击者可以向邮件服务器上的任意位置上传文件,这可能最终导致远程代码执行。</p> <h2 id="此检测方法如何工作">此检测方法如何工作?</h2> <p>检测脚本会向目标发送一个GET请求到<code>/interface/root#/login</code>,通过检查响应中是否存在<code>ng-app=&quot;smartermail&quot;</code>指令来确认目标是否为SmarterMail。然后,脚本从<code>stProductVersion</code> JavaScript变量中提取版本号和构建号。根据新加坡网络安全局(csa.gov.sg)的警报,如果构建号小于或等于9406,则将该实例标记为存在漏洞:</p> CVE-2025-14587:其源代码宠物店在线管理系统的SQL注入漏洞深度解析 https://blog.qife122.com/p/cve-2025-14587%E5%85%B6%E6%BA%90%E4%BB%A3%E7%A0%81%E5%AE%A0%E7%89%A9%E5%BA%97%E5%9C%A8%E7%BA%BF%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%E7%9A%84sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Mon, 15 Dec 2025 12:22:33 +0800 https://blog.qife122.com/p/cve-2025-14587%E5%85%B6%E6%BA%90%E4%BB%A3%E7%A0%81%E5%AE%A0%E7%89%A9%E5%BA%97%E5%9C%A8%E7%BA%BF%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%E7%9A%84sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2025-14587sql注入漏洞技术分析">CVE-2025-14587:SQL注入漏洞技术分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE标识符</strong>: CVE-2025-14587 <strong>漏洞类型</strong>: SQL注入 <strong>严重等级</strong>: 中等 (CVSS 4.0 评分:6.9) <strong>影响产品</strong>: itsourcecode 在线宠物店管理系统 1.0 <strong>发现时间</strong>: 2025年12月13日 <strong>数据来源</strong>: CVE数据库 V5</p> 应用程序检测与响应(ADR):现代应用安全的关键防护层 https://blog.qife122.com/p/%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E6%A3%80%E6%B5%8B%E4%B8%8E%E5%93%8D%E5%BA%94adr%E7%8E%B0%E4%BB%A3%E5%BA%94%E7%94%A8%E5%AE%89%E5%85%A8%E7%9A%84%E5%85%B3%E9%94%AE%E9%98%B2%E6%8A%A4%E5%B1%82/ Wed, 03 Dec 2025 13:46:45 +0800 https://blog.qife122.com/p/%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E6%A3%80%E6%B5%8B%E4%B8%8E%E5%93%8D%E5%BA%94adr%E7%8E%B0%E4%BB%A3%E5%BA%94%E7%94%A8%E5%AE%89%E5%85%A8%E7%9A%84%E5%85%B3%E9%94%AE%E9%98%B2%E6%8A%A4%E5%B1%82/ <h1 id="为什么应用程序检测与响应adr对安全至关重要">为什么应用程序检测与响应(ADR)对安全至关重要</h1> <h2 id="引言">引言</h2> <p>在一个数字化转型成为每个业务核心的时代,保护应用程序的安全变得至关重要。虽然传统的网络安全措施侧重于网络和终端安全,但应用层威胁持续演变,使得企业变得脆弱。应用程序检测与响应(ADR)应运而生——这是一种专门为保护应用程序免受复杂威胁而设计的主动式解决方案。在本博客中,我们将探讨ADR是什么、它如何工作,以及为什么它对当今的业务格局至关重要。</p> WebBrowser控件安全配置指南 https://blog.qife122.com/p/webbrowser%E6%8E%A7%E4%BB%B6%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE%E6%8C%87%E5%8D%97/ Tue, 04 Nov 2025 15:06:32 +0800 https://blog.qife122.com/p/webbrowser%E6%8E%A7%E4%BB%B6%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE%E6%8C%87%E5%8D%97/ <h1 id="microsoft-安全公告-4038556">Microsoft 安全公告 4038556</h1> <p><strong>发布日期</strong>:2017年8月8日<br> <strong>版本</strong>:1.0</p> <h2 id="保护托管webbrowser控件的应用程序指南">保护托管WebBrowser控件的应用程序指南</h2> <h3 id="执行摘要">执行摘要</h3> <p>微软发布此安全公告,旨在提供有关使用Microsoft Internet Explorer布局引擎(也称为Trident布局引擎)开发的应用程序的安全设置信息。本公告还为开发者和个人提供了指导,确保他们托管WebBrowser控件的应用程序得到适当保护。</p> Digital.ai发布白盒密码学代理,强化应用程序安全防护 https://blog.qife122.com/p/digital.ai%E5%8F%91%E5%B8%83%E7%99%BD%E7%9B%92%E5%AF%86%E7%A0%81%E5%AD%A6%E4%BB%A3%E7%90%86%E5%BC%BA%E5%8C%96%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4/ Thu, 16 Oct 2025 03:36:15 +0800 https://blog.qife122.com/p/digital.ai%E5%8F%91%E5%B8%83%E7%99%BD%E7%9B%92%E5%AF%86%E7%A0%81%E5%AD%A6%E4%BB%A3%E7%90%86%E5%BC%BA%E5%8C%96%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4/ <p>Digital.ai 推出了一款新产品,将使所有开发人员(不仅仅是密码学专家)都能使用白盒密码学。</p> <p>白盒密码学是一种将密码学保护直接嵌入应用程序代码的技术,使攻击者难以获取密钥等秘密信息。</p> 绕过代码完整性检查:本地后门攻击Signal、1Password和Slack的技术解析 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87%E4%BB%A3%E7%A0%81%E5%AE%8C%E6%95%B4%E6%80%A7%E6%A3%80%E6%9F%A5%E6%9C%AC%E5%9C%B0%E5%90%8E%E9%97%A8%E6%94%BB%E5%87%BBsignal1password%E5%92%8Cslack%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Wed, 15 Oct 2025 02:56:12 +0800 https://blog.qife122.com/p/%E7%BB%95%E8%BF%87%E4%BB%A3%E7%A0%81%E5%AE%8C%E6%95%B4%E6%80%A7%E6%A3%80%E6%9F%A5%E6%9C%AC%E5%9C%B0%E5%90%8E%E9%97%A8%E6%94%BB%E5%87%BBsignal1password%E5%92%8Cslack%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h2 id="颠覆代码完整性检查在signal1passwordslack等应用中植入本地后门">颠覆代码完整性检查:在Signal、1Password、Slack等应用中植入本地后门</h2> <h3 id="应用程序完整性并非新问题">应用程序完整性并非新问题</h3> <p>确保代码完整性并不是一个新问题,但不同软件生态系统对此的方法各不相同。Electron项目提供了一系列熔断机制(即功能开关)来对可执行脚本组件强制执行完整性检查。这些熔断机制默认处于关闭状态,必须由开发人员显式启用。</p> Digital.ai发布白盒密码学代理,强化应用程序安全防护 https://blog.qife122.com/p/digital.ai%E5%8F%91%E5%B8%83%E7%99%BD%E7%9B%92%E5%AF%86%E7%A0%81%E5%AD%A6%E4%BB%A3%E7%90%86%E5%BC%BA%E5%8C%96%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4/ Tue, 07 Oct 2025 05:17:05 +0800 https://blog.qife122.com/p/digital.ai%E5%8F%91%E5%B8%83%E7%99%BD%E7%9B%92%E5%AF%86%E7%A0%81%E5%AD%A6%E4%BB%A3%E7%90%86%E5%BC%BA%E5%8C%96%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E9%98%B2%E6%8A%A4/ <p>Digital.ai 推出了一款新产品,将使所有开发者(不仅仅是密码学专家)都能使用白盒密码学。</p> <p>白盒密码学是一种将密码学保护直接嵌入应用程序代码的技术,使攻击者难以获取密钥等秘密信息。</p> 如何扩展应用程序安全计划 - 第一部分 https://blog.qife122.com/p/%E5%A6%82%E4%BD%95%E6%89%A9%E5%B1%95%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E8%AE%A1%E5%88%92-%E7%AC%AC%E4%B8%80%E9%83%A8%E5%88%86/ Fri, 12 Sep 2025 17:24:58 +0800 https://blog.qife122.com/p/%E5%A6%82%E4%BD%95%E6%89%A9%E5%B1%95%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E5%AE%89%E5%85%A8%E8%AE%A1%E5%88%92-%E7%AC%AC%E4%B8%80%E9%83%A8%E5%88%86/ <h1 id="如何扩展应用程序安全计划---第一部分">如何扩展应用程序安全计划 - 第一部分</h1> <p><strong>图片来源:Pexels</strong></p> <p><strong>作者:Jason Taylor</strong><br> <strong>发布于:2020年5月12日</strong><br> <strong>阅读时间:5分钟</strong></p> <p>在20世纪90年代末,我曾为Internet Explorer的安全团队工作。事实上,我是微软为应对浏览器安全漏洞激增而聘用的第一位员工。我亲眼目睹了当开发团队被严重到需要响应的安全问题轰炸,却没有处理流程时的情景。早期,我们每周至少会遇到一个新的漏洞。每次响应的成本超过一百万美元——每个漏洞!每次发生这种情况,我们都必须停止开发,理解问题,理解修复方案,测试修复,然后发布给客户。一个由四百多名开发人员和测试人员组成的团队经常被迫停滞。你只能这样做一段时间,然后意识到必须有所改变。在Internet Explorer团队中,我们开发了一套新的流程、技能和工具,使我们能够应对挑战。我们在敌人的持续火力下做了必须做的事情来解决问题。最终,我们构建并扩展了一个应用程序安全计划,不仅适用于Internet Explorer,也适用于微软的其他产品开发。今天,这个过程被称为微软SDL(安全开发生命周期)和可信计算。</p>