- 综合排序
- 最热优先
- 最新优先
- 来自专栏TEG云端专业号的专栏
【Lakehu 胡珀】使命召唤2 —— 移动互联网安全之战
记得2009年在研发月报上写过一篇名为《使命召唤——现代战争》介绍挂马攻击和检测的文章——因为当年互联网挂马攻击猖獗,是时代的特征;现在,移动互联网时代,新的安全问题凸显,故我把这篇文章命名为《使命召唤 2——移动互联网安全之战》,意在续写安全中心新的使命......
37330编辑于 2023-03-30 - 来自专栏京程一灯
讲给前端的网络安全(2): 互联网的构成
上次讲到了浏览器在网络层面上发生的事,这次对互联网的结构做一些介绍。 讲给前端的网络安全(1):浏览器与网络的那些事 网络资源分配 在解互联网之前,要先了解网络资源是怎么分配的。 ? 很容易看出,整个网络资源分配是一个树状的结构 互联网(Internet) 先看一下这张图,看不懂没关系,稍后会用这张图讲解一些互联网的基本概念 ? 2 才能连上 AS 1、AS 5、AS 6 内的电脑,这时就有好几种 AS 角色关系出现: Customer AS AS 2 为 AS 1 的 Customer AS,因为 AS 2 必须通过 AS Tier 2:T2 等级提供 Transit 服务给其他AS,同时也会向 Tier 1 AS 寻求并使用 Transit 的服务。 小结 从整体而言,组成互联网的最小单位是自治系统,而互联网路由器的功能主要为以下两点: 交换路由信息 根据路由表转发数据包
75920发布于 2020-11-26 - 来自专栏FreeBuf
安全摘记 | 互联网安全小兵的日常
于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网的安全建设者来说,不光要考虑技术,还有纪律! 而大多数情况下是内网的测试环境,这种情况下就不用有太多担心,尽可能去发现更多的漏洞吧~ 2、大胆判断,小心求证,降低误报 比如测试目标服务器支持的“不安全的HTTP方法”,当使用OPTIONS方法看到返回包允许 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。
1.1K90发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全小案例
写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! </script> 就可以弹出警示框拉 Level 2 任务目标与Level1相同,注入脚本引发弹窗。区别是用户输入是持久化入库的。 直观来看点击不同的Image Tab,URL会相应的变成 frame#1, frame#2, frame#3。 看下源码17行,num这个变量是依赖URL传入的,动手脚就从这里搞啦! /apache/kafka/commit/da42977a004dc0c9d29c8c28f0f0cd2c06b889ef 随后我们在github发现了这个commit,新增对于类名的黑名单判断(当然这个做法与我们之前的安全理论相悖 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。
88040发布于 2019-11-05 - 来自专栏FreeBuf
浅谈互联网隐私安全
为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 指纹泄露的场景还可能是: 1——指纹考勤机 2——指纹门锁 3——指纹套 4——自拍“剪刀手” ? 黑客从公开图片中获得德国国防部长指纹 公众号小游戏的陷阱 ? 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ? 2、不易删除:所有的浏览器均提供了清除Http Cookie的快捷方式,但Flash Cookie并没有此种方式,并且其保存位置非常隐蔽,网民难以删除。 1.清除http cookie和Flash Cookie; 2.将相关工具的个性化配置关闭。 ? “大数据”卖披萨的时代会来吗?
4.7K80发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全知多少
image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 ** 2 纵深防御原则** Defense in Depth 也是设计安全方案的重要指导思想。就像你不光在HMTL表单上有JS的字段校验,服务端也有校验,达到层层过滤的效果。 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 ** 2 ECB模式的缺陷** 分组加密算法,除了算法本身,还有一些通用的加密模式,常见的有:ECB, CBC, CFB, OFB, CTR 等。 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。
1.2K30发布于 2019-11-05 - 来自专栏可持续开发
工业互联网2
在文章”工业互联网”中,我提到了工业互联网需要分内部和外部形态,优秀的企业内部形态是实现外部互联互通的前提条件,如果企业内部都非常多的信息孤岛,又怎么能做好外部的连接工作呢,所以工业互联网实现的难度要远远高于消费 C端互联网,本文就重点讲解一下工业互联网的内部形态需要解决的问题和挑战。 工业企业流程多样化的问题 C端互联网的实现是标准统一化的,一个淘宝手机端,微信手机端可以服务10亿以上的用户,但工业互联网,每个节点都是多样化的。 ? 工业互联网需要企业信息化升级 工业互联网是企业管理软件领域的再次升级,但这必须是建立在企业完成内部信息化的基础上面的,而且如果只有大企业完成信息也,中小企业还在数字化低端水平,也无法真正实现工业互联网。 而这个信息化的过程不是简单的通过工业互联网云和APP就能解决的。 总之,工业互联网的实现,是需要踏踏实实的技术积累,和解决中小企业信息化难题,不能像消费互联网一样,靠资金推动就能短期内实现的。
1.2K20发布于 2019-08-26 - 来自专栏FreeBuf
产业协同是关键 | ISC 2018互联网安全大会Day 2直击
ISC 2018互联网安全大会产业峰会在北京国家会议中心主会场举行。 、可鉴别性、可用性、可控性4个核心安全属性得到保障,让信息通信技术系统能够提供安全、可信、可靠、可控的服务。 、经济安全、文化安全、社会安全与国防安全的问题。 “关口前移,防患于未然”的本质就是回到安全本源问题,从零开始加入到信息化的规划当中,将安全嵌入到信息化和业务系统中,从信息化角度做安全,真正让安全成为“内生”。 VMware公司全球副总裁、大中华区总裁郭尊华的演讲题目是《数字化转型时代重塑安全》,他表示:在数字转型过程中,重建安全最重要的一个任务就是去重建企业安全架构以及安全生产系统,这是一个整合的过程,即把不同公司整合在一起
54540发布于 2018-09-21 - 来自专栏人工智能机器学习
互联网金融的信息安全(二)安全需求
未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 在整个过程中设备指纹都是有跟踪的,在注册的时候的设备指纹问题就可以识别羊毛党,一个设备上登录多个账号,根据这个人的欺诈行为,我们能算出他骗了多少钱,然后给他账户冻结扣钱等等,这个就是跟自己的风险偏好相关了,信用卡欺诈、车险欺诈、P2P 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全》
1.5K20发布于 2019-09-23 - 来自专栏Khan安全团队
Zyxel ZyWALL 2 Plus 互联网安全设备 - 跨站点脚本 (XSS)
版本:ZyWALL 2 Plus 测试平台:Ubuntu Linux [Firefox] CVE:CVE-2021-46387 GET /Forms/rpAuth_1?
31620编辑于 2022-03-09 - 来自专栏腾讯研究院的专栏
“互联网+”时代呼唤构建互联网生态安全全局观
4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 报告指出,基于LBS技术的色情O2O模式已经形成,网络色情的商业模式也在复杂演化。但从治理角度来看,平台企业一方难以应对”网络色情“产业链的整体攻势,且发展和识别色情图像也存在技术难度。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。
1.4K60发布于 2018-02-02 - 来自专栏安恒信息
2014年互联网安全年报
2014年互联网安全状况总结 2014年2月27日,中央成立了网络安全和信息化领导小组,习总书记任组长,并发表重要讲话,强调“没有网络安全,就没有国家安全;没有信息化,就没有现代化。” 1.国内互联网安全十大热点事件 维护网络安全首次列入政府工作报告 ? 2014年2月27日,中央网络安全和信息化领导小组宣告成立,在北京召开了第一次会议。 2.国际互联网安全十大热点事件 WindowsXP停服 ? 服役13年的微软Windows XP系统于2014年4月8日正式“退休”。尽管这之后XP系统仍可以继续使用,但微软不再提供官方服务支持。 Apache Struts2的远程代码执行漏洞风暴影响刚刚散去,2014年4月23日晚,国外安全人员研究发现Apache公司提供的升级版本并未完全修复漏洞,Apache Struts2在处理CVE-2014 作为现在互联网Web应用系统最经常被利用且影响最严重的漏洞,SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式,WebDev和Strurs2漏洞威胁依然存在于较多的政府网站与商业网站
1.7K50发布于 2018-04-11 - 来自专栏张高兴的博客
如何安全地访问互联网
我们知道 IP 地址是设备在互联网上的唯一标识,而要访问的网站是部署在互联网上的某一台设备中(服务器),那么这台设备会有一个固定的 IP 地址。那么怎么将网址和 IP 地址建立起联系呢? 那么如何安全地访问互联网呢?流量识别技术的提高,网络中不断增加的监视节点,导致没有绝对的匿名性️。但是通常可以使用下面的技术提高访问过程中的安全性。 VPN 是一个统称,它有很多的具体实现,常见的协议包括 PPTP、L2TP、IPSec 和 GRE。目前,绝大部分 VPN 协议的流量特征均能被精确识别。 Tor 也不能提供绝对的安全,如果监听者能够同时监测入口和出口节点,对流量进行计时关联也是可能的(如上图的 NSA美国国家安全局)。 安全地访问互联网需要采取适当的措施,例如使用 HTTPS、VPN、代理等技术,但每种技术都有其优势和局限性,切记没有绝对的安全️。
93510编辑于 2025-05-21 - 来自专栏工业科技1
“工业互联网+安全生产”,提升工业企业安全水平
工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全。
72720编辑于 2022-04-21 - 来自专栏小网管的运维之路
互联网运维安全总结
出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识
1K20发布于 2019-05-31 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 4、日志留存设备将对系统管理员日志备份数据的修改及删除操作进行记录,同时记录所有对重要服务器的访问记录; (1)提供黑名单功能,能够设置关键词、链接等; (2)提供拦截通知功能,对特定的网址和帖子进行拦截 6、提供网址和帖子举报机制,举报后将推送消息给运营人员;运营人员会及时受理并排查举报内容是否合法合规; (1)日志留存设备将提供应用会话记录和系统会话记录100天的记录; (2)能够根据用户账号、终端设备 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏腾讯云安全的专栏
腾讯安全和滴滴安全联合共建“互联网安全联合实验室”
7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 随着产业互联网时代下新业务、新场景的涌现,腾讯安全通过开放腾讯大数据、安全专家、业务安全等基础安全能力,帮助客户构建全时全域的威胁情报平台和攻防能力,建立一体化智慧安全管理平台。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。
90520发布于 2019-07-31 - 来自专栏安恒信息
“互联网+”时代政企行业信息安全何去何从?
传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。 范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。 如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 2、“大数据”帮助政企用户提升信息安全洞察力 随着依赖于互联网运营的业务越来越多,在传统政企用户的企业内网中,越来越多的数据被存储在内网之中,受限于传统IT架构这些数据一般都是独立存储,这就导致了企业很难进行深入的数据挖掘和关联分析等工作
1.2K41发布于 2018-04-11 HTTPS:构建安全互联网的基石
HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,通过在HTTP和TCP之间加入SSL/TLS加密层,为网络通信提供数据加密、身份认证和完整性保护。 虽然安全,但计算开销大,不适合大数据量传输 对称加密:使用同一个密钥进行加密和解密,速度快,适合大数据量传输 2. 2. 身份认证 通过数字证书体系,HTTPS确保客户端与真实的服务器通信,防止钓鱼网站和中间人攻击。证书由受信任的证书颁发机构(CA)签发,包含服务器公钥和身份信息。3.
25010编辑于 2026-01-14- 来自专栏灯塔大数据
“互联网+”时代下的银行信息安全
“互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。 在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战 这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。 使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。 客户身份精准识别和认证 互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。
1.1K70发布于 2018-04-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号