- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
安全摘记 | 互联网安全小兵的日常
于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 当然,不积跬步无以至千里,作为一个互联网安全小兵,还没上升到安全策略和方案的层次,我的日常还是与一个个漏洞为伴,就分“应急响应中心(SRC)”和“产品安全内测”两部分工作来说几点体会吧~ 一、应急响应中心 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网的安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。
1.1K90发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全小案例
写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 跨域的基本知识就说这么多,下面进入安全演练。 /apache/kafka/commit/da42977a004dc0c9d29c8c28f0f0cd2c06b889ef 随后我们在github发现了这个commit,新增对于类名的黑名单判断(当然这个做法与我们之前的安全理论相悖 这个问题归类的话就是安全领域的一个大类“反序列化漏洞”。 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。
88040发布于 2019-11-05 - 来自专栏FreeBuf
浅谈互联网隐私安全
进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 2016年8月3日上午,中国互联网络信息中心(CNNIC)在京发布第38次《中国互联网络发展状况统计报告》,截至2016年6月,我国手机网民规模达6.56亿,网民中使用手机上网的人群占比由2015年底的 指纹密码 据一些公开的数据统计,互联网用户平均每人拥护26个账号、6.5个密码,每天需要密码登录8次。 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ?
4.7K80发布于 2018-02-08 - 来自专栏曲水流觞TechRill
互联网安全知多少
image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 最近把道哥的《白帽子讲Web安全》重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 UTF-8(还在用GBK? CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。
1.2K30发布于 2019-11-05 - 来自专栏人工智能机器学习
互联网金融的信息安全(二)安全需求
未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 06增强客户隐私的安全性 法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施 07移动设备及BOYD的全局安全 流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全》
1.5K20发布于 2019-09-23 - 来自专栏腾讯研究院的专栏
“互联网+”时代呼唤构建互联网生态安全全局观
4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 在企业治理方面,应构建面向以网络安全为导向的组织架构,互联网企业应打破数据孤岛,以协同机制破解安全困境以技术构建网络安全第一屏障。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。
1.4K60发布于 2018-02-02 - 来自专栏安恒信息
2014年互联网安全年报
安恒信息盘点了2014年发生在全球的热点互联网信息安全事件,以及全年互联网网络漏洞与网站安全分析整理,希望能给我们的国家、机构、组织、企业,还有人民带来安全意识的启发,敲响网络信息安全的警钟。 2.国际互联网安全十大热点事件 WindowsXP停服 ? 服役13年的微软Windows XP系统于2014年4月8日正式“退休”。尽管这之后XP系统仍可以继续使用,但微软不再提供官方服务支持。 网络对摩根大通的攻击最早发生在2014年8月,导致联邦调查局开始调查俄罗斯政府与摩根大通被攻击之间的关联。 苹果公司一向以其自身设备和服务的安全而自豪,但2014年8月,随着其iCloud服务被攻破,许多的名人信息被泄露,这个iPhone和iPad制造商也被狠狠地打了脸。 2014年4月8日,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。
1.7K50发布于 2018-04-11 - 来自专栏张高兴的博客
如何安全地访问互联网
我们知道 IP 地址是设备在互联网上的唯一标识,而要访问的网站是部署在互联网上的某一台设备中(服务器),那么这台设备会有一个固定的 IP 地址。那么怎么将网址和 IP 地址建立起联系呢? 前面提到了 HTTP 是一种不加密的协议,数据在网络中是以明文传输的,所以并不安全。 那么如何安全地访问互联网呢?流量识别技术的提高,网络中不断增加的监视节点,导致没有绝对的匿名性️。但是通常可以使用下面的技术提高访问过程中的安全性。 Tor 也不能提供绝对的安全,如果监听者能够同时监测入口和出口节点,对流量进行计时关联也是可能的(如上图的 NSA美国国家安全局)。 安全地访问互联网需要采取适当的措施,例如使用 HTTPS、VPN、代理等技术,但每种技术都有其优势和局限性,切记没有绝对的安全️。
93510编辑于 2025-05-21 - 来自专栏工业科技1
“工业互联网+安全生产”,提升工业企业安全水平
工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全。
72720编辑于 2022-04-21 - 来自专栏小网管的运维之路
互联网运维安全总结
出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识
1K20发布于 2019-05-31 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏腾讯云安全的专栏
腾讯安全和滴滴安全联合共建“互联网安全联合实验室”
7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 随着产业互联网时代下新业务、新场景的涌现,腾讯安全通过开放腾讯大数据、安全专家、业务安全等基础安全能力,帮助客户构建全时全域的威胁情报平台和攻防能力,建立一体化智慧安全管理平台。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。
90520发布于 2019-07-31 - 来自专栏世民谈云计算
理解Neutron (8): Neutron 安全组
和网络回送地址127.0.0.0/8.)的地址作为源或目的地址。 一个安全组定义了哪些进入的网络流量能被转发给虚机。安全组包含一组防火墙策略,称为安全组规则(Security Group Rule)。 而 qbr 桥是一个简单的网桥,它一头连接的是虚机网卡 eth0 的 tap 设备(比如 tap59cfa0b8-2f),另一头连接 veth pari 的一端(比如qvb59cfa0b8-2f),该 veth 设备的另一端是 OVS 上的端口 qvo59cfa0b8-2f。 | [u'f5377a66-803d-481b-b4c3-a6631e8ab456'] | 402fe6b1-7670-4b6b-84a3-097beed64015 | fa:16:3e:45:6b:8b
4.4K50发布于 2019-06-28 - 来自专栏架构师成长之路
k8s实践(8)--ssl安全认证配置
一.基于CA签名的双向数字证书认证方式 在一个安全的内网环境中, Kubernetes的各个组件与Master之间可以通过apiserver的非安全端口http://apiserver:8080进行访问 但如果apiserver需要对外提供服务,或者集群中的某些容器也需要访问apiserver以获取集群中的某些信息,则更安全的做法是启用HTTPS安全机制。 k8s中哪些组件需要进行tls证书认证,哪些不需要? kube-scheduler、kube-controller-manager 一般和 kube-apiserver 部署在同一台机器上,它们使用非安全端口和 kube-apiserver通信,非安全端口默认为 安全端口默认为https的6443,可以使用--secure-port指定,监听安全端口的地址默认为0.0.0.0(监听所有接口),可以使用--bind-address指定。
3.8K20编辑于 2022-04-14 - 来自专栏啄木鸟软件测试
安全测试工具(连载8)
3.2 DirBuster DirBuster是OWASP(开放WEB软体安全项目- OpenWeb Application Security Project)开发的一款专门用于探测WEB服务器的目录和隐藏文件
75820发布于 2019-12-12 - 来自专栏安恒信息
“互联网+”时代政企行业信息安全何去何从?
传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。 范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。 如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 机遇与挑战并存,如果企业无法抓住机会或是没有引起足够的重视,那么企业就会在这个“互联网+”时代落后于人了。信息安全已经成为制胜之关键,何去何从,成为政企用户目前最迫切需要做出的选择!
1.2K41发布于 2018-04-11 HTTPS:构建安全互联网的基石
HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,通过在HTTP和TCP之间加入SSL/TLS加密层,为网络通信提供数据加密、身份认证和完整性保护。 虽然安全,但计算开销大,不适合大数据量传输 对称加密:使用同一个密钥进行加密和解密,速度快,适合大数据量传输 2.
25010编辑于 2026-01-14- 来自专栏灯塔大数据
“互联网+”时代下的银行信息安全
“互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。 在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战 这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。 使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。 客户身份精准识别和认证 互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。
1.1K70发布于 2018-04-09 - 来自专栏信安之路
移动互联网信息传输安全现状分析
本文作者:Snjezana(信安之路移动安全小组成员) 这是 2017 年 3 月份有关移动市场的统计数据,移动 app 的数量已经突破 10 亿。移动安全也成为了一个全民关注的问题。 数据裸奔时代 使用 HTTP 协议的数据传输方式 HyperText Transfer Protocol: 超文本传输协议,是互联网上使用最广泛的一种协议,所有 WWW 文件必须遵循的标准。 后续的数据传输使用了相对安全的基于 SSL/TLS 加密的安全的超文本传输协议 HTTPS。 你所使用的加密数据传输真的有保证你的数据不被窃取吗? (2)https 认证过程 判断代理服务器以及证书校验 证书校验过程 在获取证书的过程中,仅仅读取了证书的信息,并没有实现校验证书是否安全可靠的代码。这里就留下了安全隐患。 另外,既然和安全相关,那么对安全敏感的相关部门或政府肯定会有所干涉。
1.8K20发布于 2019-08-20 - 来自专栏架构师小秘圈
互联网安全威胁及应对方案
来自:高可用架构(ID:ArchNotes) 一,互联网web应用面临的主要威胁 1. XSS 跨站脚本攻击(Cross Site Scripting), 即A站点的网页想办法跑到B站点上。 4.传输劫持 看过315晚会的同学都知道免费WiFi不安全, 我要告诉你不只免费WiFi不安全。收费的、有密码的或是某些电信运营商都不安全。 补充一下hash部分也是UTF-8 但如果你的页面是UTF-8的,那么query部分也是UTF-8, 所以在非GBK的页面中使用encodeURICompoent转义query部分的值可能会有乱码,建议页面都使用 首先你需要部署一个没有已经漏洞的https软件,一般我们使用OpenSSL,心脏出血就是这个软件的著名 bug.目前互联网上还有使用这个bug的OpenSSL的版本。 8.无密码验证 很多安全问题是密码导致,无密码就出来了。FIDO就是这样的工具, FIDO主要支持UAF和U2F,其中U2F相当于U盾,UAF,主要是虹膜,扫脸、指纹等。
1.5K40发布于 2018-04-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号