- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
安全摘记 | 互联网安全小兵的日常
于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 我:巴拉巴拉….5分钟 业务:好的,我看下…过了5分钟…要不我给你打电话吧 我:好的,然后电话……又过了5分钟 业务:哦好的,那怎么测试呢? 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网的安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。
1.1K90发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全小案例
写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 跨域的基本知识就说这么多,下面进入安全演练。 Level 5 任务目标不变。 示例是个注册功能,跳转到输入邮箱页,点击Next成功。 首先从首页跳转到Sign Up页,这里URL是传入了? 这个问题归类的话就是安全领域的一个大类“反序列化漏洞”。 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。
88040发布于 2019-11-05 - 来自专栏FreeBuf
浅谈互联网隐私安全
进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 网友1 :送也没人要扔了又可惜,只好收藏咯 网友2 :拿去二手市场卖,只卖到原来十分一的钱 网友3:家里实在放不下,扔掉是最好的选择 网友4 :送给亲戚朋友 网友5:注重环保,参加废旧手机回收活动 据手机市场一位多年从事手机销售的吴先生说 为了解决用户记忆门槛,提升安全性,目前很多支付应用都加入指纹支付功能,而这一功能似乎成了目前智能机的标配。 ? 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ?
4.7K80发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全知多少
image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 在GBK字符集中,0xbf27 不是一个有效的多字节字符,在解析为单字节字符的过程中,0xbf27 变成了 0xbf(¿) 和 0x27(') 双字符,0xbf5c 是GBK字符集里有效的中文字符(縗) 攻击者输入的密码是: 0xbf27 or '1'='1 因为 0xbf27 不是有效字符,经过PHP addslashes() 转义后会在 bf 和 27 之间添加转义符 (""的ASCII 码为 0x5c ), 最终变成了0xbf5c27。 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。
1.2K30发布于 2019-11-05 - 来自专栏人工智能机器学习
互联网金融的信息安全(二)安全需求
未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 06增强客户隐私的安全性 法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施 07移动设备及BOYD的全局安全 流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全》
1.5K20发布于 2019-09-23 - 来自专栏绿盟科技研究通讯
解析5G安全(二):5G安全需求
随着5G的快速建设,5G的安全问题亟待解决。解决5G的安全问题,首先要明确5G的安全需求。 1.2 三大场景对终端的安全需求 除了终端基本的安全需求外,在5G中讨论终端安全需求不能脱离垂直应用场景。5G承载着千行万业的垂直应用,如车联网、工业物联网等。 在明确了5G的安全需求后,下一篇文章我们将对这些安全需求提出相应的安全举措,同时提出一种面向切片服务的多级协同安全防护机制,希望为5G安全防护提供一个新的视角。 5G安全是机遇也是挑战,让我们拥抱5G安全,共同守护5G的美好未来。 参考文献: [1].Rupprecht D , Kohls K , Holz T , et al. 5G移动通信网络安全研究[J].
8.5K22发布于 2019-12-11 - 来自专栏工业科技1
5G+工业互联网
工业互联网作为新一代信息技术与制造业深度融合的产物,是产业数字化转型的关键赋能者,是制造业数字化转型的基石。 5G是驱动工业互联网发展的关键使能技术,“5G+工业互联网”是助力企业实现数字化转型升级的重要驱动力量。 “5G+工业互联网”融合发展已经成为制造业转型升级的新引擎,尤其随着5G工业专网的初步应用,各大企业挖掘出工业控制、基于海量数据传感器接入的工厂监控、工业VR、智能诊断维护等一批“5G+工业互联网”应用场景 而支持5G等多网络、多场景设备接入的5G边缘计算器,可以直接从设备表面测量关键参数,利用AI融合工业机理的的算法,构建旋转设备故障模型库,实现边缘侧数据实时分析和决策,把事后维修变为预测性维护。 借助5G在工业互联网中的应用,深化互联网+先进制造业发展,赋能制造业提质增效,有望推动我国制造业在部分领域实现创新突破和引领!
50480发布于 2021-11-16 - 来自专栏腾讯研究院的专栏
“互联网+”时代呼唤构建互联网生态安全全局观
4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 在企业治理方面,应构建面向以网络安全为导向的组织架构,互联网企业应打破数据孤岛,以协同机制破解安全困境以技术构建网络安全第一屏障。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。
1.4K60发布于 2018-02-02 - 来自专栏安恒信息
2014年互联网安全年报
安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的启发,敲响网络信息安全的警钟。 与此同时,安恒信息协助本次大会安全保障部门全面参与了世界互联网大会网络安全技术支撑工作,在安恒信息的风暴中心,技术人员7*24小时对世界互联网大会的网站进行实时监测,大会主会场的网络安全保障工作也闪现着安恒专家团队的身影 全国硕士考试报名信息遭泄露1万5买130万用户数据 ? 某漏洞平台报道《国内考研130W报名信息泄漏事件》并表示该漏洞导致泄露的信息正在被黑产利用。 密码只是md5进行了一次hash,这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库攻击。如果是撞库,这是否也暴露出了12306对此类新型攻击手段的防范意识与手段有待加强呢? 3.2014互联网网络漏洞简析 根据中国国家信息安全漏洞库统计,2014年全年互联网新增各类网络漏洞9118个,其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537
1.7K50发布于 2018-04-11 - 来自专栏张高兴的博客
如何安全地访问互联网
我们知道 IP 地址是设备在互联网上的唯一标识,而要访问的网站是部署在互联网上的某一台设备中(服务器),那么这台设备会有一个固定的 IP 地址。那么怎么将网址和 IP 地址建立起联系呢? 那么如何安全地访问互联网呢?流量识别技术的提高,网络中不断增加的监视节点,导致没有绝对的匿名性️。但是通常可以使用下面的技术提高访问过程中的安全性。 代理的传输过程 代理有两种常见的技术,一个是 SOCKS5,一个是 Tor。SOCKS5 是 SOCKS 协议的第五个版本,位于 OSI 模型中的第五层会话层,因此可以处理任何类型的网络流量。 由于数据是以明文传输的,SOCKS5 更多用在本地代理,即同一网段下的所有设备都可以共用一个代理网络出口。 安全地访问互联网需要采取适当的措施,例如使用 HTTPS、VPN、代理等技术,但每种技术都有其优势和局限性,切记没有绝对的安全️。
93510编辑于 2025-05-21 - 来自专栏工业科技1
“工业互联网+安全生产”,提升工业企业安全水平
工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全。
72720编辑于 2022-04-21 - 来自专栏小网管的运维之路
互联网运维安全总结
出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识
1K20发布于 2019-05-31 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 5、个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施。 6、建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况。 5、提供黑名单功能,能够设置关键词、链接等;提供拦截通知功能,对特定的网址和帖子进行拦截、邮件告知等;能够记录所使用终端的相关信息和上网行为有关信息。 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏工业科技1
5G与工业互联网
4G以前的技术造就了非常辉煌的互联网经济,可以把它定义为消费互联网时代,因为它以人为中心;而5G技术打开了另一扇门,就是工业互联网时代。 工业互联网将机器和先进的传感器、控制和软件应用进行连接,由标识解析、网络、平台、安全四大要素构成,其本质在于工业机理、经验的固化以及制造资源的集聚与共享。 ,例如AI、云计算、大数据和5G等等。 忽米工业互联网平台—让工业更有智慧 工业互联网想要更好地发展绝对离不开5G的支持,5G应用的完整体现也需要工业快速发展来成就!相信在不久的将来5G普及以后,我国的产业会迎来进一步转变! 部分来源:《5G 将全面使能工业互联网》
51130发布于 2021-09-06 - 来自专栏腾讯云安全的专栏
腾讯安全和滴滴安全联合共建“互联网安全联合实验室”
7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 随着产业互联网时代下新业务、新场景的涌现,腾讯安全通过开放腾讯大数据、安全专家、业务安全等基础安全能力,帮助客户构建全时全域的威胁情报平台和攻防能力,建立一体化智慧安全管理平台。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。
90520发布于 2019-07-31 - 来自专栏安恒信息
“互联网+”时代政企行业信息安全何去何从?
传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。 范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。 如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 机遇与挑战并存,如果企业无法抓住机会或是没有引起足够的重视,那么企业就会在这个“互联网+”时代落后于人了。信息安全已经成为制胜之关键,何去何从,成为政企用户目前最迫切需要做出的选择!
1.2K41发布于 2018-04-11 HTTPS:构建安全互联网的基石
HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,通过在HTTP和TCP之间加入SSL/TLS加密层,为网络通信提供数据加密、身份认证和完整性保护。 虽然安全,但计算开销大,不适合大数据量传输 对称加密:使用同一个密钥进行加密和解密,速度快,适合大数据量传输 2.
25010编辑于 2026-01-14- 来自专栏灯塔大数据
“互联网+”时代下的银行信息安全
“互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。 在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战 这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。 使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。 客户身份精准识别和认证 互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。
1.1K70发布于 2018-04-09 - 来自专栏信安之路
移动互联网信息传输安全现状分析
数据裸奔时代 使用 HTTP 协议的数据传输方式 HyperText Transfer Protocol: 超文本传输协议,是互联网上使用最广泛的一种协议,所有 WWW 文件必须遵循的标准。 -file skxy.cer -keystore skxy.keystore -storepass 123456 (4)将证书放在 android 客户端,能够读取的地方比如 assert 目录 (5) 解密 key 的获取方式:数据包名的 md5 ? 解密向量 通过这个简单分析,你还敢说你的数据是安全传输的吗? Security 包含主要三个重要的规范: 1、JavaCryptography Extension(简写为 JCE),JCE 所包含的内容有加解密,密钥交换,消息摘要(Message Digest,比如 MD5 另外,既然和安全相关,那么对安全敏感的相关部门或政府肯定会有所干涉。
1.8K20发布于 2019-08-20 - 来自专栏架构师小秘圈
互联网安全威胁及应对方案
来自:高可用架构(ID:ArchNotes) 一,互联网web应用面临的主要威胁 1. XSS 跨站脚本攻击(Cross Site Scripting), 即A站点的网页想办法跑到B站点上。 4.传输劫持 看过315晚会的同学都知道免费WiFi不安全, 我要告诉你不只免费WiFi不安全。收费的、有密码的或是某些电信运营商都不安全。 一般安全测试用的代理软件,或前端用的Fiddler就是这一类软件。 当你是HTTP访问的时候你就什么都让别人知道了。 当然并不是说HTTPS就一定安全,这个后面会讲。 5. Fetch原名叫CORS,就是使用XHR来跨站访问数据,注意这里的Origin也不能设置为* 5. 首先你需要部署一个没有已经漏洞的https软件,一般我们使用OpenSSL,心脏出血就是这个软件的著名 bug.目前互联网上还有使用这个bug的OpenSSL的版本。
1.5K40发布于 2018-04-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号