- 综合排序
- 最热优先
- 最新优先
- 来自专栏重庆的技术分享区
确保业务安全的4个基本要素
最近的网络安全漏洞和攻击使得商业和技术社区在安全性方面处于动荡状态。 以下是安全专家和安全公司高层管理人员提供的一些建议,他们具有多年保护企业免受此类威胁的经验。 相关:领导者可以从索尼黑客丑闻中吸取教训 1.知识就是力量。 强大的安全策略必须包括移动设备。适当的端点保护必须包括安全策略、过程和培训,以便员工遵守策略,甚至在他们的私人活动中也是如此。斯坦伯格说:“如果人们破坏安全,任何技术都无法提供安全保障。” 4.小企业最容易受到竞争对手的影响。 “使用隐蔽的网络犯罪手段,比如DDoS攻击小企业,不太可能是国家发起的攻击。” 如果您打算在全世界开展业务,那么专注于安全性有助于建立一个值得信赖的品牌。现在遭受破坏的许多企业证明了他们对这一运营方面的关注很少。
53110发布于 2018-08-01 - 来自专栏我的安全视界观
【业务安全】业务安全之另类隐患
在漏洞回归的时候,也会发现新的隐患; 一条短短的验证码,可能酿成一场事故; 业务安全之另类隐患,希望和大家分享鲜有人说的点点滴滴。 1、系统登录处暴力破解 ---- 1.1 回归漏洞 某业务系统在修复安全问题,并进行部分功能调整后进行安全提测,内容如下: ? 接收到提测邮件后,安全测试人员首先对已知漏洞在测试环境进行验证。 但事已至此,吃一堑需要长一智,在痛苦的经历中学习提高,关于对业务可能造成高风险危害的操作尽量少做或不做: 漏洞扫描、漏洞利用等高危操作,尽量做到事先告知业务方 安全测试前先评估影响范围,尽量确保对业务和用户无影响 2.4 深刻体悟 业务方面的安全隐患,可能不仅仅是由于业务逻辑造成,其他不规范的操作也起到一定的助攻成分。 业务相关的漏洞修复,推动改起来甚至比web漏洞更加难,因为产品要考虑友好度和便捷性。 不过也可以找到其他次之的修复方案,在安全和业务之间找到平衡点,让安全真正的为业务保驾护航。
96730发布于 2018-10-08 - 来自专栏全栈程序员必看
业务安全(逻辑漏洞)
文章目录 业务安全 概述 黑客攻击的目标 业务安全测试流程 测试准备 业务调研 业务建模 业务流程梳理 业务风险点的识别 开展测试 撰写报告 业务数据安全 商品支付金额篡改 前端JS 限制绕过验证 业务流程梳理 建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理,从前台和后台、业务和支撑系统等4个不同维度进行分析,识别各业务模块的业务逻辑、业务数据流和功能字段等。 业务风险点识别应主要关注以下安全风险内容: 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制 业务环节间存在的安全风险 业务环节间存在的安全风险,如系统业务流程是否存在乱序,导致某个业务环节可绕过、回退 或某个业务请求可以无限重放。 在测试验证码是否可以被暴力枚举时,可以先将验证码多次发送给自己的账号,观察验证码是否有规律,如每次接收到的验证码为纯数字并且是4位数。
1.5K20编辑于 2022-09-06 - 来自专栏安全攻防
企业业务安全思考
企业业务安全业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。 企业业务安全案例私服魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。 然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。 存在业务安全问题,其他安全方面都很好,业务一定会出现问题。总结1、业务安全是新的词,不是新的需求。2、业务安全问题的根源,在业务设计产品设计。3、业务安全没有通用方法论,是紧密围绕业务的。 4、互联网时代的业务安全,可借鉴传统风控做互联网优化。5、业务安全非常考验思路跟知识广度。
60641编辑于 2023-08-25 - 来自专栏腾讯云安全专家服务
业务安全(1)-天御内容安全
一、前言 此系列将写一个系列给大家介绍腾讯云上的业务安全产品,希望加深大家对于腾讯业务安全产品的了解和熟悉,使用。 随着互联网业务的发展,各行各业都涉及业务安全问题: 金融中涉及的主要业务安全问题包括账号安全、资金安全、洗钱、骗贷、老赖逾期问题、金融黑中介、薅羊毛等; 社交中面临的主要业务安全问题包括账号安全(盗号、 业务安全是一个不断对抗的过程,腾讯业务安全是基于腾讯20年黑灰产的对抗经验和领先技术打造而成的标准化风控模型,目前已在金融、电商、政务等多个行业落地应用,并覆盖金融领域超过80%的标杆客户。 4. 八、服务保证指标SLA 8.1 内容安全服务承诺99.9%的业务可用性。 (1)业务可用性 = 图片内容安全服务周期内业务可用时间 / 图片内容安全服务周期内服务总时间。
6.3K130发布于 2020-11-03 - 来自专栏Bypass
业务逻辑安全思路总结
在电商的业务场景里,我们最应该注意哪些安全问题呢? 想到这,发现挺有意思的,于是我重新去梳理了一下业务逻辑方面的内容,总结了一张关于业务逻辑安全的思维导图,在整理的过程中,自己的思路也越加清晰。 ---- 01、防前端绕过 前端校验增加用户体验,后端校验才能保障接口安全性。 漏洞案例:支付计价的逻辑写在前端,后端没有做数据校验,从而导致0元支付逻辑漏洞。 04、防流程绕过 业务逻辑拆分需考虑风险,防止用户绕过某些节点,执行后面的流程。 漏洞案例:积分兑换的场景,将积分扣减和兑换拆分为两个接口,攻击者可直接执行兑换,不执行积分扣减。 06、防高并发攻击 防范业务端的条件竞争,一般的方法是设置锁。 漏洞案例:利用高并发请求抢占时间,从而绕过积分限制实现多次抽奖。
1K30编辑于 2022-12-01 - 来自专栏天存信息的专栏
WEB安全新玩法 业务安全动态加固平台
但是,Web 应用的业务功能日益丰富、在线交易活动愈加频繁,新的安全问题也随之呈现:基于 Web 应用所承载的交易特性,某些利用其业务逻辑设计缺陷来构造的针对具体业务的攻击逐渐成为主流,我们称之为业务层攻击 以传统的应用层安全来讲,这种自动化的模拟完全遵循正常的业务逻辑,提交的业务数据也都是合规数据,因此并未呈现出任何安全问题。 基于主体概念,业务安全动态加固平台可以统计访问行为,做出持续的裁决。 因此,在这种解决方案下,Web 安全产生了一种新玩法,即:安全测试人员在发现漏洞后,利用业务安全动态加固平台现场写出修复代码来供开发人员参考,并且在开发人员修复代码之前,可以通过测试人员编写的虚拟补丁来及时地和非侵入式地缓解或解决已发现的业务安全问题 [图4]
65410发布于 2021-06-22 - 来自专栏顶象技术业务安全专栏
11月业务安全月报
11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰”IT军团“入侵俄罗斯中央银行导语:随着数字化的深入普及,业务愈加开放互联。 企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。 为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了 该组织公开了一个大小为2.6GB的文件包,TheRecord对部分内容进行审查发现,其中详细记录了银行业务、安全政策以及一些员工个人资料,甚至一些俄罗斯军人的个人资料、电话号码和银行账号。”
77550编辑于 2022-12-02 - 来自专栏我的安全视界观
【漏洞赏析】安全业务那些洞
{初衷} 很早之前的某一个月,初步完成了运维安全方面漏洞的总结; 后来实战时思路短缺,恰巧看到业务安全漏洞挖掘归纳总结。 此文章主要是持续记录归纳、总结、实践业务相关漏洞(逻辑漏洞), 正好可以改变渗透测试时、参加众测禁止使用扫描器时的无思绪窘态。 {思路} 关于业务安全那些洞,想说的太多,但是能说出来的却很少。 因为刚开始做业务安全不久,视角、眼光、积淀还远远不够,所以只好把以前的“业务逻辑测试评估”以prezi的形式分享。 <1>挖掘方法 1)浏览网页,查看业务流程 众所周知的渗透第一步是信息搜集,其实挖逻辑漏洞第一步也是如此。倚着柔软的椅子,听着喜欢的节奏,手握鼠标轻快地在目标系统上来回滑动,系统功能映入眼帘。 大佬可能看一眼就知道这个场景可能、或许存在一些安全漏洞,抓个包仔细想想就可能知道参数的来龙去脉以及哪一个参数最重要。逻辑漏洞就是靠思路 >>> 工具,难怪有人会说BURP在手天下我有。
1K90发布于 2018-06-12 - 来自专栏FreeBuf
业务安全架构思维
关于架构的理解有很多人会有误区,认为架构是一个很大的整体框架,像安全架构就是综合所有安全设备的一个框架,其实并不是这样,架构是为了设计系统的元件如何划分、元件之间如何发生相互作用,以及系统中逻辑的、物理的 同时由于业务需要大量调度与查数据库,为避免大量查询语句影响数据库性能,引入redis进行数据缓存来减轻数据库的压力。 这是整体业务的架构思维,那么下面重点来讲一下围绕业务架构思维展开的安全架构思维。 首先明确一点,安全是离不开业务的,任何安全点的设计都应该充分考虑业务。 由于业务都是使用代码实现的,代码审计是必须的安全点,那么在安全架构设计思维初期,首先就要考虑代码审计。 在保证了外部的相对安全后,要考虑内部的相对安全,加密传输无疑是比较大众和方便的一种手段。 同样内部安全永远离不开运维监控的支持,只用做好协同,才能保证相对稳定与安全的服务器环境,而安全、稳定、高效、灵活,才是业务架构的根本所在。
94820发布于 2020-02-20 - 来自专栏全栈程序员必看
Web安全之业务逻辑漏洞
业务逻辑 不同的项目有不同的功能,不同的功能需要不同的代码实现,实现这些核心功能的代码就叫业务逻辑。 业务逻辑漏洞 业务逻辑漏洞是指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能正常处理或处理错误。 常见的业务逻辑漏洞 业务逻辑漏洞挖掘过程 确定业务流程—>寻找流程中可以被操控的环节—>分析可被操控环节中可能产生的逻辑问题—>尝试修改参数触发逻辑问题 业务逻辑漏洞 1.URL跳转漏洞 1.1 4.任意用户登录漏洞 4.1.简述 逻辑错误导致可以登录任意用户,撞库获得用户名,通过验证码登录,抓包修改接收验证码的手机号或者邮箱,然后能使撞库获得的用户登录,产生漏洞。 5.3.修复方法 1.基础安全架构,完善用户权限体系。 2.鉴权,服务端对请求的数据和当前用户身份做校验; 3.不要直接使用对象的实名或关键字。 4.对于可控参数进行严格的检查与过滤!
2.3K20编辑于 2022-09-05 - 来自专栏老高的技术博客
typecho源代码解析4 - 业务逻辑
这篇我们就讲讲首页的业务逻辑,首先我们看看路由。 在此需要讲清楚,便于理解typecho的设计模式: 基类Typecho_Widget 该类位于var/Typecho/Widget.php,是var/Widget文件夹下所有类的基类,也就是说,几乎所有与业务有关的功能
40020编辑于 2022-12-28 - 来自专栏C/C++基础
腾讯业务安全岗 IDP 谈话总结
1.简单回顾 入司将近 6 个多月,从对安全业务的懵懂,到现在独立负责加好友和天御系统,中途遇到了很多问题,在 bear、otis、dongdong 和同事的指导和帮助下,克服和解决问题后,对业务安全工作有了更深入的理解 2.运营与技术并重 业务安全的工作,起初并不理解,在经过近半年的切身投入后,发现与业务直接关联的工作,是繁杂、琐碎,也是挑战与责任并重的事。 剥丝抽茧,站在更高的维度,使用技术压制恶意,如AI,在准确率与覆盖寻求平衡,才能让自己抽身于繁杂无尽、白热化的安全业务对抗。 奋战在业务安全工作的一线同学,每一个人都要独挡一面,每一个人都是主力。 有幸,能够来到一个高效互助的安全团队。 4.职场箴言铭记于心 时间飞逝,自己已不在是新人,所感所得,铭记于心。 (2)安全事件无小事,及时响应与同步; (3)Owner 意识,数据运营,结果导向; (4)不管黑猫白猫,抓到老鼠就是好猫,快速解决问题,不管使用什么方法; (5)利弊面前,做好取舍。
56740编辑于 2022-09-19 - 来自专栏DevOps时代的专栏
业务安全-DevSecOps 的催化剂
业务产品在做到基础安全的同时还做好了业务安全,最终有利于业务部门,有利于老板。 有利于开发测试和运维部门,安全人员怎么给他们提供服务呢? 3.1 业务安全 业务安全是指保护业务系统免受安全威胁的措施和手段,广义的业务安全还包括像IT系统的软硬件平台、操作系统、数据库、中间件,还有业务系统本身的软件设备,还有业务系统的那些服务。 3.2 业务安全的催化作用 3.2.1 安全地满足业务功能需求 最早对于安全来说只会想到软件安全,可能说软件安全仅仅限于代码扫描、漏洞补丁,使用的框架,对于敏捷开发来说功能才是第一位,安全问题等上线了再改 业务安全的催化作用有八大模块:产品描述、产品设计、业务模块,财务模块,业务安全控制模块、基础安全控制模块、清结算模块、产品运营模块。 因为你的业务在不断变化,公司架构肯定也是在不断变化,安全需求变化还是比较频繁的,结合业务来完善基础安全要求,结合业务调整系统构架,同时自动输出开发安全要求、业务安全要求、运维安全要求,这样就真的做好了,
1.1K50发布于 2018-02-02 - 来自专栏DevOps时代的专栏
业务安全与 DevSecOps 的最佳实践
讲师介绍:赵锐,平时负责信息安全工作,主要针对业务风险、信息安全、账户安全、开发安全。 广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。 4. 实现最佳实践的项目 我们在 DevOps 的基础上做 DevSecOps,我们要进行选择,有没有成熟的工具?有没有成熟的接口? 广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。 4. 实现最佳实践的项目 我们在 DevOps 的基础上做 DevSecOps,我们要进行选择,有没有成熟的工具?有没有成熟的接口?
1.6K20发布于 2018-06-22 - 来自专栏SAP最佳业务实践
SAP S4 HANA后勤业务创新
一、业务实时响应 实时库存管理 •实时库存处理过程与可视化 •能够获得更小/更短的库存管理颗粒度 •降低了库存水平/安全库存水平 •各种灵活与实时的库存多维度分析 实时MRP运算 •实时MRP运算,以物料流为主线跟踪各种短缺料问题 ; •提供了各种维度的实时模拟与分析,例如物料短缺、互相制约、需求方案建议等等; •为业务快速决策提供了高效的支持; 实时库存周转率分析 二、业务实时预警,协同工作
882140发布于 2018-03-28 - 来自专栏高可用
混沌工程工具:业务代码注入原理(4)
业务代码的混沌 可能是大规模企业级的应用,大都是Java编写、并且Java提供了方便的API,可以在不修改Java代码的情况下,直接运行时编辑Java字节码,实现运行时改变程序的默认行为,达到在具体的Java 腾讯云 2、 混沌工程工具:chaos-mesh注入项原理分析(2)-腾讯云开发者社区-腾讯云 3、 混沌工程工具:chaosblade在服务器上注入项原理分析(3)-腾讯云开发者社区-腾讯云 4、 混沌工程工具:业务代码注入原理(4)-腾讯云开发者社区-腾讯云 5、 混沌工程工具:Chaosblade Java业务代码注入原理(5)-腾讯云开发者社区-腾讯云 6、 混沌工程工具:混沌工程实施过程及持久价值 jvm-sandbox JVM-busybox官网:https://github.com/alibaba/jvm-sandbox JVM-Sandbox是一个用于Java虚拟机(JVM)的安全沙盒环境, 它通过运行Java应用程序在受控的环境中,实现了安全性和隔离性,以防止恶意代码或不受信任的代码对系统造成损害。
1.4K12编辑于 2023-10-10 - 来自专栏腾讯云安全专家服务
业务安全(2)-天御验证码
一、前言 此系列将写一个系列给大家介绍腾讯云上的业务安全产品,希望加深大家对于腾讯业务安全产品的了解和熟悉,使用。 随着互联网业务的发展,各行各业都涉及业务安全问题: 金融中涉及的主要业务安全问题包括账号安全、资金安全、洗钱、骗贷、老赖逾期问题、金融黑中介、薅羊毛等; 社交中面临的主要业务安全问题包括账号安全(盗号、 业务安全是一个不断对抗的过程,腾讯业务安全是基于腾讯20年黑灰产的对抗经验和领先技术打造而成的标准化风控模型,目前已在金融、电商、政务等多个行业落地应用,并覆盖金融领域超过80%的标杆客户。 腾讯云验证码(Captcha)基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证,最大程度地保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下的业务安全,同时提供更精细化的用户体验 云服务冗余切换机制,人工即时响应 服务,超出预算自动切换基础验证机 制,保证业务的持续运营 保障服务安全 采用动态加密、数据加密技术,保障 整个服务的安全性 四、使用常见问题和案例 1.验证码接入
3.1K141发布于 2020-12-02 - 来自专栏腾讯安全
腾讯安全黎巍:业务上线之初就要把安全纳入考量
作为重点互联网企业代表,腾讯经历了中国互联网的全部周期,其如何做好业务安全?对比传统安全厂商,互联网企业的数字化安全实践有何不同? 图片业务上线之初就要把安全纳入考量南都:在社交网络业务安全、云计算安全领域,近些年面临的安全威胁和以往相比有什么变化? 整个腾讯安全,最近几年主要聚焦To B的安全,现在也围绕云安全构建整个安全体系,包括基础安全和业务安全,最近几年都在发力。 此外,我们在面向业务场景的安全做了非常多的探索,包括在反欺诈,包括网络和电信安全,各种流量方面的业务安全攻击方面,是我们这几年大力投入和发展的方向。 互联网企业相对传统企业而言,会面临更多来自业务逻辑层面的风险,也叫做“业务安全”,例如羊毛党、黄牛党、违规内容、虚假广告等等,因此互联网企业做安全会更加关注业务发展,安全建设不仅仅是企业的底线,更是决定企业发展的天花板
48020编辑于 2022-09-19 - 来自专栏绿盟科技研究通讯
《云原生安全: 攻防实践与体系构建》解读:业务安全篇
《云原生安全: 攻防实践与体系构建》解读:业务安全篇 随着云原生技术的发展,业务系统从原有的单体架构逐步转换为微服务架构。微服务架构使应用的开发和业务的扩展变得更加便利,同时也带来了许多新的安全问题。 那么,生长在云原生环境下的业务系统面临着哪些安全隐患?攻击者如何利用这些隐患对业务系统进行攻击?针对所存在的隐患和可能面临的攻击如何进行异常检测和安全防护? 在享受微服务为开发带来便捷的同时,安全性也成为了不可忽视的问题。若是业务系统出现安全问题,由于微服务架构整个应用被分成多个服务,定位故障点将会非常困难。 《云原生安全:攻防实践与体系构建》书籍中融合了笔者以及其他作者在业务安全上的研究经验,盼望此书籍可为广大读者在微服务业务安全上的研究提供帮助。 本文旨在对《云原生安全:攻防实践与体系构建》书籍中的业务安全部分进行精华解读。若需要详细了解云原生业务安全或希望对云原生安全有更加宏观的了解,请参照具体书中章节,若有任何问题可随时联系作者。
1.1K30发布于 2021-11-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号