- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
安全摘记 | 互联网安全小兵的日常
于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 当然,不积跬步无以至千里,作为一个互联网安全小兵,还没上升到安全策略和方案的层次,我的日常还是与一个个漏洞为伴,就分“应急响应中心(SRC)”和“产品安全内测”两部分工作来说几点体会吧~ 一、应急响应中心 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网的安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。
1.1K90发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全小案例
写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 跨域的基本知识就说这么多,下面进入安全演练。 Level 6 任务目标是请求一个外部的evil文件。 这个网站目前就到Level6, 到这里相信大家对XSS应该有比较清楚的认知了,不管是安全人员还是研发人员,这些坑都应该了解一下。 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。
88040发布于 2019-11-05 - 来自专栏FreeBuf
浅谈互联网隐私安全
进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 2016年8月3日上午,中国互联网络信息中心(CNNIC)在京发布第38次《中国互联网络发展状况统计报告》,截至2016年6月,我国手机网民规模达6.56亿,网民中使用手机上网的人群占比由2015年底的 截至2016年6月,我国使用网上支付的用户规模达到4.55亿,较2015年底增加3857万人,增长率为9.3%,我国网民使用网上支付的比例从60.5%提升至64.1%。 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ?
4.7K80发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全知多少
image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 最近把道哥的《白帽子讲Web安全》重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。 黑名单是非常不好的设计思想 设计安全方案 -白帽子兵法 1 Secure By Default 原则 设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。
1.2K30发布于 2019-11-05 - 来自专栏人工智能机器学习
互联网金融的信息安全(二)安全需求
未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 06增强客户隐私的安全性 法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施 07移动设备及BOYD的全局安全 流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全》
1.5K20发布于 2019-09-23 - 来自专栏腾讯研究院的专栏
“互联网+”时代呼唤构建互联网生态安全全局观
4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 在企业治理方面,应构建面向以网络安全为导向的组织架构,互联网企业应打破数据孤岛,以协同机制破解安全困境以技术构建网络安全第一屏障。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。
1.4K60发布于 2018-02-02 - 来自专栏安恒信息
2014年互联网安全年报
安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的启发,敲响网络信息安全的警钟。 而3月6日播出的央视晚间新闻《据说两会》栏目,向全国观众介绍了当前我国所处的网络安全形势,首次将维护网络安全列为国家安全和发展的重大战略问题之一。 2014世界互联网大会 ? 该漏洞发现者称,由于该漏洞存在,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露,包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。 2014年6月,一个名为“Anonymous巴西”的黑客组织,制定了一个名为“攻击世界杯行动”的计划,进行了大量拒绝服务攻击,导致世界杯相关网站无法正常使用。 但是,信息安全专家在2014年6月份公布的研究结果仍然令人感到担忧,它显示至今仍有30.9197万台服务器存在这个漏洞。
1.7K50发布于 2018-04-11 - 来自专栏张高兴的博客
如何安全地访问互联网
我们知道 IP 地址是设备在互联网上的唯一标识,而要访问的网站是部署在互联网上的某一台设备中(服务器),那么这台设备会有一个固定的 IP 地址。那么怎么将网址和 IP 地址建立起联系呢? 前面提到了 HTTP 是一种不加密的协议,数据在网络中是以明文传输的,所以并不安全。 那么如何安全地访问互联网呢?流量识别技术的提高,网络中不断增加的监视节点,导致没有绝对的匿名性️。但是通常可以使用下面的技术提高访问过程中的安全性。 Tor 也不能提供绝对的安全,如果监听者能够同时监测入口和出口节点,对流量进行计时关联也是可能的(如上图的 NSA美国国家安全局)。 安全地访问互联网需要采取适当的措施,例如使用 HTTPS、VPN、代理等技术,但每种技术都有其优势和局限性,切记没有绝对的安全️。
93510编辑于 2025-05-21 - 来自专栏工业科技1
“工业互联网+安全生产”,提升工业企业安全水平
工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全。
72720编辑于 2022-04-21 - 来自专栏小网管的运维之路
互联网运维安全总结
出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识
1K20发布于 2019-05-31 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 6、建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况。 7、建立为监管部门和执法部门依法履职提供技术、数据支持和协助的工作机制的情况。 6、提供网址和帖子举报机制,举报后将推送消息给运营人员;运营人员会及时受理并排查举报内容是否合法合规; (1)日志留存设备将提供应用会话记录和系统会话记录100天的记录; (2)能够根据用户账号、终端设备 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏啄木鸟软件测试
安全测试工具(连载6)
2.3 Pangolin Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。 Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。 1. 产品介绍 其特点如下。 l全面的数据库支持。
91920发布于 2019-12-12 - 来自专栏腾讯云安全的专栏
腾讯安全和滴滴安全联合共建“互联网安全联合实验室”
7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 随着产业互联网时代下新业务、新场景的涌现,腾讯安全通过开放腾讯大数据、安全专家、业务安全等基础安全能力,帮助客户构建全时全域的威胁情报平台和攻防能力,建立一体化智慧安全管理平台。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。
90520发布于 2019-07-31 - 来自专栏林小帅的专栏
IPv6 国际互联网尝鲜体验
北京时间11月26日下午消息,据国外媒体报道,负责英国、欧洲、中东和部分中亚地区互联网资源分配的欧洲网络协调中心(RIPE NCC)近日宣布,全球所有43亿个IPv4地址已全部分配完毕,这意味着没有更多的 IPv6 地址网站测试确认 IPv6 网卡是否正常工作(流量出) 通过 IPv6 test 等测试网站/工具来确认 IPv6 的 Nginx/服务 是否正常工作(流量入) 配置完成后就可以用过 IPv6 进行访问互联网了 IPv6 访问国际互联网.jpg Nginx IPv6 配置 server { listen 80; # 监听的端口号 IPv4 listen [::]: 版本非常低,不然大概率无法通过 nginx -t } IPv6 访问测试(流量出) ping6 -c 4 ipv6.baidu.com # baidu 目前只能通过二级域名来访问 ping6 通过 IPv6 可以访问国际化的互联网,如 google、youtube、twitter、facebook等。 可以学习,请勿滥用,遵纪守法。
1.6K30发布于 2019-12-02 - 来自专栏安恒信息
“互联网+”时代政企行业信息安全何去何从?
传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。 范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。 如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 机遇与挑战并存,如果企业无法抓住机会或是没有引起足够的重视,那么企业就会在这个“互联网+”时代落后于人了。信息安全已经成为制胜之关键,何去何从,成为政企用户目前最迫切需要做出的选择!
1.2K41发布于 2018-04-11 HTTPS:构建安全互联网的基石
HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,通过在HTTP和TCP之间加入SSL/TLS加密层,为网络通信提供数据加密、身份认证和完整性保护。 虽然安全,但计算开销大,不适合大数据量传输 对称加密:使用同一个密钥进行加密和解密,速度快,适合大数据量传输 2.
25010编辑于 2026-01-14- 来自专栏灯塔大数据
“互联网+”时代下的银行信息安全
“互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。 在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战 这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。 使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。 客户身份精准识别和认证 互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。
1.1K70发布于 2018-04-09 - 来自专栏信安之路
移动互联网信息传输安全现状分析
本文作者:Snjezana(信安之路移动安全小组成员) 这是 2017 年 3 月份有关移动市场的统计数据,移动 app 的数量已经突破 10 亿。移动安全也成为了一个全民关注的问题。 数据裸奔时代 使用 HTTP 协议的数据传输方式 HyperText Transfer Protocol: 超文本传输协议,是互联网上使用最广泛的一种协议,所有 WWW 文件必须遵循的标准。 后续的数据传输使用了相对安全的基于 SSL/TLS 加密的安全的超文本传输协议 HTTPS。 你所使用的加密数据传输真的有保证你的数据不被窃取吗? (2)https 认证过程 判断代理服务器以及证书校验 证书校验过程 在获取证书的过程中,仅仅读取了证书的信息,并没有实现校验证书是否安全可靠的代码。这里就留下了安全隐患。 另外,既然和安全相关,那么对安全敏感的相关部门或政府肯定会有所干涉。
1.8K20发布于 2019-08-20 - 来自专栏架构师小秘圈
互联网安全威胁及应对方案
来自:高可用架构(ID:ArchNotes) 一,互联网web应用面临的主要威胁 1. XSS 跨站脚本攻击(Cross Site Scripting), 即A站点的网页想办法跑到B站点上。 4.传输劫持 看过315晚会的同学都知道免费WiFi不安全, 我要告诉你不只免费WiFi不安全。收费的、有密码的或是某些电信运营商都不安全。 6.暴力破解 即黑客使用同一个账号试不同密码, 或同一个密码试不同账号, 通过社工库,即上面提到的那个账号密码泄露,可以破解很多账号。 通过这些账号,特别是邮箱,能够得到很多很多的信息。 首先你需要部署一个没有已经漏洞的https软件,一般我们使用OpenSSL,心脏出血就是这个软件的著名 bug.目前互联网上还有使用这个bug的OpenSSL的版本。 Public-Key-Pins: max-age=300; pin-sha256="WoiWRyIOVNa9ihaBciRSC7XHjliYS9VwUGOIud4PB18="; pin-sha256="JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg
1.5K40发布于 2018-04-02 - 来自专栏我的网安魔法之旅
Java安全之CommonsCollections6链
8u71后官方修改了AnnotationInvocationHandler类中的readObject()函数导致了在高版本下 cc1 链不可利用的问题,所以这篇文章就来介绍新的链子弥补这个缺陷,cc6链比较通用 ; import java.io.*; import java.util.HashMap; import java.util.Map; public class CommonsCollections6_ ByteArrayInputStream(barr.toByteArray())); Object o = (Object)ois.readObject(); } } 在cc6中 java.lang.reflect.Field; import java.util.HashMap; import java.util.Map; public class CommonsCollections_6 参考链接: https://juejin.cn/post/7130505267074203656 Java篇之ysoserial中的一些操作 Java篇Commons Collections 6
42720编辑于 2023-05-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号