- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
安全摘记 | 互联网安全小兵的日常
于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 当然,不积跬步无以至千里,作为一个互联网安全小兵,还没上升到安全策略和方案的层次,我的日常还是与一个个漏洞为伴,就分“应急响应中心(SRC)”和“产品安全内测”两部分工作来说几点体会吧~ 一、应急响应中心 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网的安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。
1.1K90发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全小案例
写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。例如,XMLHttpRequest 和 Fetch 遵循同源策略。 跨域的基本知识就说这么多,下面进入安全演练。 这个问题归类的话就是安全领域的一个大类“反序列化漏洞”。 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。
88040发布于 2019-11-05 - 来自专栏FreeBuf
浅谈互联网隐私安全
进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 另外,各手机厂商都会频繁升级换代自身产品,根据报告显示,近7成用户更换手机的周期为1年半至两年。 ? 那么被废弃的手机会被怎么处理呢? 并从去年7月1号起,开始对违规公众号进行删除粉丝及封号处理。 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ?
4.7K80发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全知多少
image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 最近把道哥的《白帽子讲Web安全》重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。 黑名单是非常不好的设计思想 设计安全方案 -白帽子兵法 1 Secure By Default 原则 设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。
1.2K30发布于 2019-11-05 - 来自专栏人工智能机器学习
互联网金融的信息安全(二)安全需求
未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 06增强客户隐私的安全性 法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施 07移动设备及BOYD的全局安全 流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全》
1.5K20发布于 2019-09-23 - 来自专栏腾讯研究院的专栏
“互联网+”时代呼唤构建互联网生态安全全局观
4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 在企业治理方面,应构建面向以网络安全为导向的组织架构,互联网企业应打破数据孤岛,以协同机制破解安全困境以技术构建网络安全第一屏障。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。
1.4K60发布于 2018-02-02 - 来自专栏安恒信息
2014年互联网安全年报
2014年互联网安全状况总结 2014年2月27日,中央成立了网络安全和信息化领导小组,习总书记任组长,并发表重要讲话,强调“没有网络安全,就没有国家安全;没有信息化,就没有现代化。” 安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的启发,敲响网络信息安全的警钟。 与此同时,安恒信息协助本次大会安全保障部门全面参与了世界互联网大会网络安全技术支撑工作,在安恒信息的风暴中心,技术人员7*24小时对世界互联网大会的网站进行实时监测,大会主会场的网络安全保障工作也闪现着安恒专家团队的身影 2014年7月,斯诺登又指责Dropbox公司“对隐私怀有敌意”,并是美国政府棱镜窥探计划的走狗。 3.2014互联网网络漏洞简析 根据中国国家信息安全漏洞库统计,2014年全年互联网新增各类网络漏洞9118个,其中第一季度新增安全漏洞2018个;第二季度安全漏洞1910个;第三季度安全漏洞2537
1.7K50发布于 2018-04-11 - 来自专栏张高兴的博客
如何安全地访问互联网
我们知道 IP 地址是设备在互联网上的唯一标识,而要访问的网站是部署在互联网上的某一台设备中(服务器),那么这台设备会有一个固定的 IP 地址。那么怎么将网址和 IP 地址建立起联系呢? 前面提到了 HTTP 是一种不加密的协议,数据在网络中是以明文传输的,所以并不安全。 那么如何安全地访问互联网呢?流量识别技术的提高,网络中不断增加的监视节点,导致没有绝对的匿名性️。但是通常可以使用下面的技术提高访问过程中的安全性。 Tor 也不能提供绝对的安全,如果监听者能够同时监测入口和出口节点,对流量进行计时关联也是可能的(如上图的 NSA美国国家安全局)。 安全地访问互联网需要采取适当的措施,例如使用 HTTPS、VPN、代理等技术,但每种技术都有其优势和局限性,切记没有绝对的安全️。
93510编辑于 2025-05-21 - 来自专栏工业科技1
“工业互联网+安全生产”,提升工业企业安全水平
工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全。
72720编辑于 2022-04-21 - 来自专栏小网管的运维之路
互联网运维安全总结
出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识
1K20发布于 2019-05-31 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 7、建立为监管部门和执法部门依法履职提供技术、数据支持和协助的工作机制的情况。 上面这些是需要申请报告需要填写的内容。 (1)日志留存设备将提供应用会话记录和系统会话记录100天的记录; (2)能够根据用户账号、终端设备、IP地址追溯用户真实身份信息; (3)能够及时通过运营后台对所要拦截的内容进行拦截或者删除操作; 7、 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏数据科学与人工智能
互联网金融风控7个问题
,只是民间金融和互联网金融,把一些基础类型的金融产品,更灵活性、服务性、衍生性发挥,并且推陈出新的进行传统金融产品改革,思路和结构变化,很多基础型产品还是来源于传统金融机构。 纯互联网背景出身的互联网金融公司,应从哪几个方面去把关风控? 其实互联网金融公司和是不是纯互联网背景没有直接关系。关键是从事了互联网金融你怎么去经营。 首先,你的风控体系的建立是打算以哪种形态存在? ,需要承受的是长期的市场适应能力,当然也不排除有些:非结构化产品特殊可行性模式; 但是不得不说,互联网金融也是一种传统模式的颠覆,传统的金融模式:投资者、服务平台(P2P)、融资者,对于一端的投资来分析 ,互联网金融公司,是一个快捷有效的一个投资方式,操作的安全性、可控性、稳定性比较重要了;对于另一端借款分析,是否会有信用风险和道德风险出现,对于一个金融企业来说就至关重要,还是一个‘风控点’的问题。 7.有效风控模型建立的必要条件是哪些?目前风控市场现状如何?是担保、小贷公司自己做风控,还是委托给第三方? 风控模型之前已经阐述过了,这里就不做重复了。
3.3K50发布于 2018-02-28 - 来自专栏XBD
CentOS7密码安全设置
设置连续输错 5 次口令,账号锁定 5 分钟,先检查 PAM 模块版本,搜索 pam_tally2 是否存在
83510编辑于 2024-08-07 - 来自专栏咻一咻
CentOS Linux 7安全基线检查
操作时建议做好记录或备份 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在/etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7- 14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查 | 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 | 身份鉴别 描述 确保密码到期警告天数为28或更多 加固建议 在/etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置 描述 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户 /sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
3.1K20发布于 2020-05-29 - 来自专栏啄木鸟软件测试
安全测试工具(连载7)
它是网络管理员必用的软件之一,以及用以评估网络系统安全。本书介绍的nmap版本为V7.40。 nmap的三大功能。 l探测一组主机是否在线。 l扫描 主机端口,嗅探所提供的网络服务。 on 127.0.0.1 Discovered open port 8005/tcp on 127.0.0.1 Discovered open port 5521/tcp on 127.0.0.1 案例7:
1.2K40发布于 2019-12-12 - 来自专栏运维前线
CentOS 7 安全加固、检测、审计
key # if specified --rwo , display only warnings [root@linuxprobe ~]# rkhunter --check --sk Lynis 安全审计工具
2.4K30发布于 2019-05-26 - 来自专栏腾讯云安全的专栏
腾讯安全和滴滴安全联合共建“互联网安全联合实验室”
7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 随着产业互联网时代下新业务、新场景的涌现,腾讯安全通过开放腾讯大数据、安全专家、业务安全等基础安全能力,帮助客户构建全时全域的威胁情报平台和攻防能力,建立一体化智慧安全管理平台。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。
90520发布于 2019-07-31 - 来自专栏腾讯安全
CSS 2019将于7月30日在京举办,聚焦产业互联网时代的安全之道
产业互联网时代,企业如何应对全新的安全挑战?安全如何助力企业真正地实现降本增效?——来CSS 2019,解码产业互联网时代的安全之道。 2019年7月30日-31日,汇聚众多安全行业大咖的【第五届互联网安全领袖峰会】将与你相约北京,共商产业互联网时代下的安全之道。 扫码报名参会 ▼ ? CSS 2019有何不同? ——聚焦产业互联网时代的安全之道 要论过去一年被提及最多的一个词,非“产业互联网”莫属。伴随产业互联网时代的开启,安全行业将迎来哪些全新的机遇与挑战?在CSS 2019上将找到答案。 CSS 2019大会,将汇聚中国安全行业上市公司,在P17安全领袖圆桌共商产业互联网安全生态,并联合发布首份产业互联网安全报告。 7月30日,让我们相聚在北京! 关于CSS 互联网安全领袖峰会(Cyber Security Summit,简称CSS)由腾讯与企事业单位联合主办。
39920发布于 2019-09-16 - 来自专栏腾讯云安全的专栏
CSS 2019将于7月30日在京举办,聚焦产业互联网时代的安全之道
产业互联网时代,企业如何应对全新的安全挑战?安全如何助力企业真正地实现降本增效?——来CSS 2019,解码产业互联网时代的安全之道。 2019年7月30日-31日,汇聚众多安全行业大咖的【第五届互联网安全领袖峰会】将与你相约北京,共商产业互联网时代下的安全之道。 扫码报名参会 ▼ ? CSS 2019有何不同? ——聚焦产业互联网时代的安全之道 要论过去一年被提及最多的一个词,非“产业互联网”莫属。伴随产业互联网时代的开启,安全行业将迎来哪些全新的机遇与挑战?在CSS 2019上将找到答案。 CSS 2019大会,将汇聚中国安全行业上市公司,在P17安全领袖圆桌共商产业互联网安全生态,并联合发布首份产业互联网安全报告。 7月30日,让我们相聚在北京! 关于CSS 互联网安全领袖峰会(Cyber Security Summit,简称CSS)由腾讯与企事业单位联合主办。
82830发布于 2019-06-24 - 来自专栏安恒信息
“互联网+”时代政企行业信息安全何去何从?
传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。 范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。 如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 机遇与挑战并存,如果企业无法抓住机会或是没有引起足够的重视,那么企业就会在这个“互联网+”时代落后于人了。信息安全已经成为制胜之关键,何去何从,成为政企用户目前最迫切需要做出的选择!
1.2K41发布于 2018-04-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号