硬编码的凭据可能会带来安全风险
Secure Code Warrior坚定地致力于帮助教育安全和开发人员社区如何安全地编写代码,并降低因不安全代码引入漏洞的风险。作为该目标的一部分,我们将利用发展中的故事 优步最近发生的安全事件 借此机会讨论开发者驱动的安全性和向左移动的重要性。
优步安全事件
优步发布声明 关于9月16日的网络安全事件,他们将继续对其进行更新。读者应该记住,这是一个持续的故事。让我们回顾一下我们从优步迄今为止的公告以及安全界的其他知名帖子中学到的东西。
黑客在找到优步员工的WhatsApp号码后,首先对他们进行了社交工程。攻击者联系了他们,通过让毫无戒心的员工登录虚假的优步网站,然后获取他们的用户名和密码,开始通过网络钓鱼获取凭证。
优步账号受多因素身份验证(MFA)保护,这意味着除了提交密码外,用户还必须出示第二份证据,以确认其身份。在大多数情况下,这是发送到移动设备的提示。
获取凭据后,攻击者发起了 MFA 疲劳发作 通过不断尝试登录真正的优步网站,并在员工设备上发布大量推送通知,让员工不知所措。攻击者再次通过WhatsApp联系了受害者。据称这次他们 假装是 IT 支持 并成功说服他们接受。
硬编码的凭证
优步安全漏洞的基础是成功的网络钓鱼攻击。进入内部后,入侵者发现了包含 PowerShell 脚本的网络共享。其中一个脚本包含管理员用户的硬编码证书,这导致了优步内部服务(例如 AWS、G-Suite 和代码存储库)受到损害。黑客还访问了优步的HackerOne账户。但是,根据优步的说法,“攻击者能够访问的任何错误报告都已得到修复。”
想知道这个漏洞在代码中会是什么样子吗?试试我们的 免费的 PowerShell 挑战赛。
这些类型的攻击有多常见?
社会工程学作为攻击载体很难防御,因为人为因素一直被认为是网络安全中最薄弱的部分。优步的黑客攻击清楚地表明,MFA的实施很容易被避开。防止这种情况的关键是提高员工对网络钓鱼攻击运作方式的认识。
但是,导致优步内部服务泄露的是管理员的用户名和密码,这些用户名和密码是在PowerShell脚本中找到的。硬编码凭证从来都不是一件好事,因为任何开发人员,基本上是任何有权访问代码的人都可以读取它们。
但同样,意识是关键!具有以安全为中心思维的开发人员更有可能发现漏洞,而不太可能编写漏洞。
社会工程学通识教育的双管齐下,更具体地说,主动的安全编码培训,将减少代码库中的漏洞数量,因此在对抗安全威胁方面至关重要。
想更多地了解最新的安全编码最佳实践吗?退房 安全代码教练。在这里,您可以免费学习安全编码指南和试用培训练习。
在我们讨论优步最近发生的安全事件时,详细了解与硬编码凭证和社会工程相关的风险,以及为何组织向左移动并确保其开发人员了解最新的安全编码最佳实践如此重要。
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Secure Code Warrior坚定地致力于帮助教育安全和开发人员社区如何安全地编写代码,并降低因不安全代码引入漏洞的风险。作为该目标的一部分,我们将利用发展中的故事 优步最近发生的安全事件 借此机会讨论开发者驱动的安全性和向左移动的重要性。
优步安全事件
优步发布声明 关于9月16日的网络安全事件,他们将继续对其进行更新。读者应该记住,这是一个持续的故事。让我们回顾一下我们从优步迄今为止的公告以及安全界的其他知名帖子中学到的东西。
黑客在找到优步员工的WhatsApp号码后,首先对他们进行了社交工程。攻击者联系了他们,通过让毫无戒心的员工登录虚假的优步网站,然后获取他们的用户名和密码,开始通过网络钓鱼获取凭证。
优步账号受多因素身份验证(MFA)保护,这意味着除了提交密码外,用户还必须出示第二份证据,以确认其身份。在大多数情况下,这是发送到移动设备的提示。
获取凭据后,攻击者发起了 MFA 疲劳发作 通过不断尝试登录真正的优步网站,并在员工设备上发布大量推送通知,让员工不知所措。攻击者再次通过WhatsApp联系了受害者。据称这次他们 假装是 IT 支持 并成功说服他们接受。
硬编码的凭证
优步安全漏洞的基础是成功的网络钓鱼攻击。进入内部后,入侵者发现了包含 PowerShell 脚本的网络共享。其中一个脚本包含管理员用户的硬编码证书,这导致了优步内部服务(例如 AWS、G-Suite 和代码存储库)受到损害。黑客还访问了优步的HackerOne账户。但是,根据优步的说法,“攻击者能够访问的任何错误报告都已得到修复。”
想知道这个漏洞在代码中会是什么样子吗?试试我们的 免费的 PowerShell 挑战赛。
这些类型的攻击有多常见?
社会工程学作为攻击载体很难防御,因为人为因素一直被认为是网络安全中最薄弱的部分。优步的黑客攻击清楚地表明,MFA的实施很容易被避开。防止这种情况的关键是提高员工对网络钓鱼攻击运作方式的认识。
但是,导致优步内部服务泄露的是管理员的用户名和密码,这些用户名和密码是在PowerShell脚本中找到的。硬编码凭证从来都不是一件好事,因为任何开发人员,基本上是任何有权访问代码的人都可以读取它们。
但同样,意识是关键!具有以安全为中心思维的开发人员更有可能发现漏洞,而不太可能编写漏洞。
社会工程学通识教育的双管齐下,更具体地说,主动的安全编码培训,将减少代码库中的漏洞数量,因此在对抗安全威胁方面至关重要。
想更多地了解最新的安全编码最佳实践吗?退房 安全代码教练。在这里,您可以免费学习安全编码指南和试用培训练习。
Secure Code Warrior坚定地致力于帮助教育安全和开发人员社区如何安全地编写代码,并降低因不安全代码引入漏洞的风险。作为该目标的一部分,我们将利用发展中的故事 优步最近发生的安全事件 借此机会讨论开发者驱动的安全性和向左移动的重要性。
优步安全事件
优步发布声明 关于9月16日的网络安全事件,他们将继续对其进行更新。读者应该记住,这是一个持续的故事。让我们回顾一下我们从优步迄今为止的公告以及安全界的其他知名帖子中学到的东西。
黑客在找到优步员工的WhatsApp号码后,首先对他们进行了社交工程。攻击者联系了他们,通过让毫无戒心的员工登录虚假的优步网站,然后获取他们的用户名和密码,开始通过网络钓鱼获取凭证。
优步账号受多因素身份验证(MFA)保护,这意味着除了提交密码外,用户还必须出示第二份证据,以确认其身份。在大多数情况下,这是发送到移动设备的提示。
获取凭据后,攻击者发起了 MFA 疲劳发作 通过不断尝试登录真正的优步网站,并在员工设备上发布大量推送通知,让员工不知所措。攻击者再次通过WhatsApp联系了受害者。据称这次他们 假装是 IT 支持 并成功说服他们接受。
硬编码的凭证
优步安全漏洞的基础是成功的网络钓鱼攻击。进入内部后,入侵者发现了包含 PowerShell 脚本的网络共享。其中一个脚本包含管理员用户的硬编码证书,这导致了优步内部服务(例如 AWS、G-Suite 和代码存储库)受到损害。黑客还访问了优步的HackerOne账户。但是,根据优步的说法,“攻击者能够访问的任何错误报告都已得到修复。”
想知道这个漏洞在代码中会是什么样子吗?试试我们的 免费的 PowerShell 挑战赛。
这些类型的攻击有多常见?
社会工程学作为攻击载体很难防御,因为人为因素一直被认为是网络安全中最薄弱的部分。优步的黑客攻击清楚地表明,MFA的实施很容易被避开。防止这种情况的关键是提高员工对网络钓鱼攻击运作方式的认识。
但是,导致优步内部服务泄露的是管理员的用户名和密码,这些用户名和密码是在PowerShell脚本中找到的。硬编码凭证从来都不是一件好事,因为任何开发人员,基本上是任何有权访问代码的人都可以读取它们。
但同样,意识是关键!具有以安全为中心思维的开发人员更有可能发现漏洞,而不太可能编写漏洞。
社会工程学通识教育的双管齐下,更具体地说,主动的安全编码培训,将减少代码库中的漏洞数量,因此在对抗安全威胁方面至关重要。
想更多地了解最新的安全编码最佳实践吗?退房 安全代码教练。在这里,您可以免费学习安全编码指南和试用培训练习。
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und beschäftigt sich mit der Erforschung von Schwachstellen und der Erstellung von Inhalten für Missions und Coding Labs.
Secure Code Warrior坚定地致力于帮助教育安全和开发人员社区如何安全地编写代码,并降低因不安全代码引入漏洞的风险。作为该目标的一部分,我们将利用发展中的故事 优步最近发生的安全事件 借此机会讨论开发者驱动的安全性和向左移动的重要性。
优步安全事件
优步发布声明 关于9月16日的网络安全事件,他们将继续对其进行更新。读者应该记住,这是一个持续的故事。让我们回顾一下我们从优步迄今为止的公告以及安全界的其他知名帖子中学到的东西。
黑客在找到优步员工的WhatsApp号码后,首先对他们进行了社交工程。攻击者联系了他们,通过让毫无戒心的员工登录虚假的优步网站,然后获取他们的用户名和密码,开始通过网络钓鱼获取凭证。
优步账号受多因素身份验证(MFA)保护,这意味着除了提交密码外,用户还必须出示第二份证据,以确认其身份。在大多数情况下,这是发送到移动设备的提示。
获取凭据后,攻击者发起了 MFA 疲劳发作 通过不断尝试登录真正的优步网站,并在员工设备上发布大量推送通知,让员工不知所措。攻击者再次通过WhatsApp联系了受害者。据称这次他们 假装是 IT 支持 并成功说服他们接受。
硬编码的凭证
优步安全漏洞的基础是成功的网络钓鱼攻击。进入内部后,入侵者发现了包含 PowerShell 脚本的网络共享。其中一个脚本包含管理员用户的硬编码证书,这导致了优步内部服务(例如 AWS、G-Suite 和代码存储库)受到损害。黑客还访问了优步的HackerOne账户。但是,根据优步的说法,“攻击者能够访问的任何错误报告都已得到修复。”
想知道这个漏洞在代码中会是什么样子吗?试试我们的 免费的 PowerShell 挑战赛。
这些类型的攻击有多常见?
社会工程学作为攻击载体很难防御,因为人为因素一直被认为是网络安全中最薄弱的部分。优步的黑客攻击清楚地表明,MFA的实施很容易被避开。防止这种情况的关键是提高员工对网络钓鱼攻击运作方式的认识。
但是,导致优步内部服务泄露的是管理员的用户名和密码,这些用户名和密码是在PowerShell脚本中找到的。硬编码凭证从来都不是一件好事,因为任何开发人员,基本上是任何有权访问代码的人都可以读取它们。
但同样,意识是关键!具有以安全为中心思维的开发人员更有可能发现漏洞,而不太可能编写漏洞。
社会工程学通识教育的双管齐下,更具体地说,主动的安全编码培训,将减少代码库中的漏洞数量,因此在对抗安全威胁方面至关重要。
想更多地了解最新的安全编码最佳实践吗?退房 安全代码教练。在这里,您可以免费学习安全编码指南和试用培训练习。
Verzeichnis
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
