- 综合排序
- 最热优先
- 最新优先
源代码防泄密怎么解决?学会这3个方法,能轻松保护源代码安全!
源代码防泄密怎么解决?本文教您3招源代码防泄密方法,轻松筑牢代码安全防线。 例如,研发部的代码仅限研发人员访问,其他部门无法打开。这种分级管控机制不仅满足了企业对数据分级管理的需求,还通过部门级权限隔离提升了整体信息安全水平。3. 3.分支保护在"Settings"→"Repository"中,启用"Protected Branches"。设置main分支为"仅允许合并请求",禁止直接推送。指定"开发组"成员为合并请求审批人。 三、行为审计:给代码操作"装监控摄像头"行为审计系统如同24小时运转的"安全哨兵",完整记录代码的创建、修改、复制等操作。 3.日志分析插件每日自动生成审计报告,包含:异常操作时间线涉及的文件列表操作人员IP地址支持按时间、人员、文件类型筛选。四、结语记住,安全不是"一次性工程",而是需要持续优化的"动态过程"。
43810编辑于 2025-10-10- 来自专栏安全速报
SMBv3远程代码执行漏洞 CVE-2020-0796安全通告
CVE-2020-0796漏洞简介 【漏洞名称及类型】 SMB远程代码执行漏洞(编号:CVE-2020-0796,类型:远程代码执行) 【漏洞描述】 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查 75eceff3ddc278ad52a7c518b438850a.jpg 部署腾讯T-Sec终端安全管理系统拦截病毒木马入侵,更多信息可参考链接: https://s.tencent.com/product 参考链接: https://cloud.tencent.com/product/nta 2.jpg 四、腾讯安全率先推出SMB远程代码执行漏洞扫描工具,管理员使用该工具可远程检测全网终端是否存在安全漏洞 一、推荐个人用户采用腾讯电脑管家的漏洞扫描修复功能安装补丁,腾讯电脑管家同时为未安装管家的用户单独提供了SMB远程代码漏洞修复工具 SMB远程远程代码执行漏洞修复工具正在加紧制作中,预计3月15日午间在此页面发布 ,腾讯电脑管家官微发布“CVE-2020-0796:疑似微软SMB协议‘蠕虫级’漏洞初步通告”; 4. 2020年3月12日23点,微软官方发布CVE-2020-0796安全公告; 5. 2020年3月
3.7K300发布于 2020-03-13 - 来自专栏博文视点Broadview
源代码安全审计
近年来全球影响较大的网络安全事件往往都伴随着供应链安全问题。在供应链安全方向,有与《源代码安全审计基础》一书内容密切相关的软件供应链安全领域。 前卫而时髦的DevSecOps体系,也需要在Dev开发阶段设置代码审计环节。 代码审计在网络安全领域占有重要地位。 所以,代码审计是防御者的优势,理当充分利用。 当然,从理论上,即使进行了代码审计,Bug和安全漏洞也难以在大型复杂软件系统中杜绝。 《源代码安全审计基础》一书旨在让代码审计技术得到更广泛的应用,让更多的技术人员掌握代码审计技术。 由信息产业信息安全测评中心编写的这本书,对教材相对匮乏的代码审计人才培养工作来说是难得的及时雨。 希望本书能为我国培养更多的代码审计工程师、测评师,更好地改善代码的安全性,夯实网络安全基础。 本文来自《源代码安全审计基础》一书序言,作序人潘柱廷。 快快扫码抢购吧!
1.7K30编辑于 2023-05-13 - 来自专栏开源部署
Python代码安全指南
面向开发人员梳理的代码安全指南,旨在梳理 API 层面的风险点并提供详实可行的安全编码方案。基于 DevSecOps 理念,我们希望用开发者更易懂的方式阐述安全编码方案,引导从源头规避漏洞。 Python代码安全指南 图片 通用类 1. 代码实现 代码书写完毕之后的,后续工作,如加密代码之类的! 1.1 加密算法 【必须】避免使用不安全的对称加密算法 DES 和 3DES 已经不再适用于现代应用程序,应改为使用 AES。 Flask 安全 使用 Flask 框架编写代码是需要考虑和思考的问题! Django 安全 使用 Django 框架编写代码是需要考虑和思考的问题!
1.7K20编辑于 2022-06-25 - 来自专栏腾讯安全
低代码+原生安全=?
而云时代面临的传统安全算法滞后、安全边界防御体系失效、攻防节奏加快、数据资产管理机制亟待优化等安全挑战的变化,让相关行业对剔除了反复测试之后的低代码应用开发之安全性释放出了一些担忧。 然而,云环境下传统安全威胁与新生安全问题杂糅的局面,加之云攻击规模的持续扩大,业内人士对低代码这一“自带”安全属性的效用,仍有较大疑虑。 借助云原生安全开箱即用、弹性、自适应、全生命周期防护等的优势,低代码平台上的应用开发将具备“天然”原生安全属性。 毫无疑问,在安全性得到有效解决之后,搭载了云原生安全能力的低代码势必在数字化大潮下解锁出一条迅速升温的发展新赛道。 数字生态下,安全问题尚未有消弭之势,云原生安全正在尝试用“天然”基因的力量,为低代码“锦上添花”,将这种新的开发方式带到更多的业务领域中。一场关于应用开发的安全革新正在悄然升温。
1.1K30发布于 2021-02-03 - 来自专栏FreeBuf
PHP代码安全杂谈
虽然PHP是世界上最好的语言,但是也有一些因为弱类型语言的安全性问题出现。 WordPress历史上就出现过由于PHP本身的缺陷而造成的一些安全性问题,如CVE-2014-0166 中的cookie伪造就是利用了PHP Hash比较的缺陷。 案例代码 考察点 PHP类型转换缺陷 write-up 分析下代码:首先对GET方式提交的参数id的值进行检验。id通过is_numeric函数来判断是否为数字,如果为数字的话,GG。 虽然这样PHP方便了程序员,但是随之而来却会带来一些安全性的问题。 (入门代码审计、CTF必备) 浅谈PHP弱类型安全 NJCTF2017 线上赛 web 题解 CTF之PHP黑魔法总结 Some features of PHP in CTF PHP浮点数运算精度的问题
2.3K60发布于 2018-02-07 - 来自专栏个人路线
绝对安全的代码
引言 不知道大家看过这个电影没,《我是谁:没有绝对安全的系统》, 影片中本杰明是一个这样的人:在三次元现实世界中,他是一个十足的屌丝&Loser,难以找到存在感,没有时尚感、没有朋友,也没有女朋友。 而影片中另一位主人公马克思是一个渴望“黑客世界”的潜在革命者,他注意到了本杰明在 网络方面的惊人才华,马克思、本杰明和神童斯蒂芬以及保罗私人组建了黑客组织CLAY,并且为了正义入侵国际安全系统。 他们凭借高超黑客技术的所为引起了德国秘密警察组织、欧洲刑警组织的重视,并且一个邪恶的黑客将他们视作威胁, 或许在代码的背后,你永远不知道对方的身份,或许你认为没有绝对安全的代码,或许的或许都是或许的猜测 ,其实不然,不信,你看,他来了,该项目目前已获star数49.6k 就足以说明写什么,所以程序员们加油吧,至于这个项目的魅力,真正的是什么,大家可以关注我, 回复“绝对安全的代码” 获取项目地址,然后看一看这个项目的魅力 绝对安全的代码
43030编辑于 2021-12-29 - 来自专栏渗透云笔记
代码审计安全实践
第一次写文章,希望大牛们轻喷 一、代码审计安全 代码编写安全: 程序的两大根本:变量与函数 漏洞形成的条件:可以控制的变量“一切输入都是有害的 ” 变量到达有利用价值的函数(危险函数)“一切进入函数的变量是有害的 通读全部代码 四、安全编程规范: 1.SQL注入防护 (1)采用预编译,在Java Web开发一般在采用预处理,在sql语句中放入? 原因在于这样的查询方式是使用了PHP本地模拟prepare,再把完整的SQL语句发送给MySQL服务器,并且有使用setnames'gbk'语句,所以会有PHP和MySQL编码不一致的原因导致SQL注人 (3) 这段代码正常执行的情况下是会输出当前用户名的,而我们在php.ini里面吧PHP安全模式打开一下,再重启下WebServer从新加载PHP配置文件,再执行这段代码的时候,我们会看到下面这个提示: Waring 3.命令执行漏洞防范规范: (1) 命令防注入函数: PHP在SQL防注入上有addslashes()和mysql_[real_]escape_string()等函数过滤SQL语句,输人一个string
2.1K30发布于 2019-11-11 - 来自专栏有价值炮灰
代码安全审计之道
代码审计是每个安全研究员都应该掌握的技能。但是网上对于代码审计的介绍文章却比较匮乏。 影响代码审计速度的原因有很多,比如: 代码语言: 对于 C/C++ 这种内存不安全的语言需要更多关注底层细节;而 Java、Python 等内存安全的语言则更多关注上层逻辑实现; 代码风格: 代码风格整洁 安全边界 该审计策略的目标是从代码实现去还原开发者或者安全架构师预设的安全边界,从而对还原后安全边界进行进一步审计,构建实际攻击的威胁模型。 key val 起点 所有安全相关的校验和检查代码 终点 安全漏洞 方法 随机应变 目标 通过已知的安全相关代码去推测还原目标的设计的安全边界 难度 ★★★★ 速度 ★★★ 理解 ★★★★★ 一个具体的方法是通过收集整理代码中的安全校验相关代码片段进行记录 这些原始的安全验证是我们对应用安全边界建模的重要信息来源,该策略的优点是可以让我们专注于安全相关的代码区域,并且构建更为完整的设计架构。
2K30编辑于 2023-02-12 - 来自专栏python3
Linux安全问答(3)
3、保护一个目录为只读。 # lidsconf -A -o /some/directory -j READONLY 此命令用保证一旦LIDS启用,任何人都不能列出或删除此目录及其中的内容。
91020发布于 2020-01-08 - 来自专栏python基础文章
网络安全——传输层安全协议(3)
前言 通过之前文章对SSL握手协议与SSL记录协议有了一定的了解网络安全——传输层安全协议(2) 本章将会继续讲解SSL的其他协议 一.SSL密钥更改协议 SSL密钥更改协议用以通知参与各方加密策略的改变 三.SSL协议安全性分析 SSL协议的安全性由采用的加密算法和认证算法所保证。实践证明,现有的加密和认证算法是安全有效的,但随着计算机技术和信息对抗技术的发展,一些新的问题和挑战随即产生。 这些发现促使产业界不得不发展更安全的散列算法,同时也使开发下一代更安全的SSL.协议提上了日程。 五.SSL安全优势 1.监听和中间人攻击 2.流量数据分析式攻击 3.版本重放攻击 4.检测对握手协议的攻击 5.会话恢复伪造 6.短包攻击 7.截取再拼接式攻击 3.数字签名问题 基于SSL.协议没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,则需要在协议中打补丁。这样做,在用于加密密钥的同时又用于数字签名,在安全上存在漏洞。
65820编辑于 2023-10-15 - 来自专栏全栈程序员必看
代码缓存(3)
2、CodeBuffer CodeBuffer类似于IO里面的BufferedReader等用来临时缓存生成的汇编代码,CodeBuffer用来缓存汇编代码的内存通常是BufferBlob中content CodeCache就是用于缓存不同类型的生成的汇编代码,如热点方法编译后的代码,各种运行时的调用入口Stub等,所有的汇编代码在CodeCache中都是以CodeBlob及其子类的形式存在的。 通常CodeBlob会对应一个CodeBuffer,负责生成汇编代码的生成器会通过CodeBuffer将汇编代码写入到CodeBlob中。 _limit) pointer refers to the first unused (resp. unallocated) byte. 3、CodeCache::initialize() 在CodeCache :设置代码缓存的大小; -XX:+UseCodeCacheFlushing:当代码缓存满了的时候,让JVM换出一部分缓存以容纳新编译的代码。
68220发布于 2021-04-07 - 来自专栏python基础文章
网络安全——网络层安全协议(3)
一.IPSec采用的安全技术 1.IPSec的安全特性 IPSec有两个基本安全目标,决定它应该拥有以下5个安全特性。 (3)数据完整性 数据完整性。防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。 ---- 3.预置共享密钥认证 IPSec也可以使用预置共享密钥进行认证。预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。 IPSec还支持3DES算法,3DES可提供更高的安全性,但计算速度更慢。 ---- 7.密钥管理 (1)动态密钥更新。IPSec策略使用“动态密钥更新”法决定一次通信中新密钥产生的频率。 (3)Diffie-Hellman算法。要启动安全通信,通信两端必须首先得到相同的共享密钥(主密钥),但共享密钥不能通过网络相互发送,因为这种做法极易泄密。
67030编辑于 2023-10-15 - 来自专栏javascript技术
前端安全即JS代码安全,简单前端源码安全探讨!
前端源码安全今天思考下前端源码安全的东西,不讲前端安全的大课题,只是针对于源码部分。在我看来,源码安全有两点,一是防止抄袭,二是防止被攻击。 说了这么多,前端js代码混淆加密怎么做,推荐产品吧,国外有jscrmber,国内有jshaman!关于安全所有的用户输入都是不能相信的,如果后端的检查校验还做得不好,那就可能被攻破。 前端代码的逻辑如果还被了解清楚,那就是雪上加霜。后端的问题我们前端管不着,前端的代码安全,就是用混淆加密解决,让别人看不懂。 也就是说换行等空白字符的删除是不安全的,可能导致元素的样式产生差异。2. HTML元素中,有一个pre, 表示 preformatted text. 里面的任何空白,都不能被删除。3. 总结1、前端安全需要重视,将来会越来越被重视,因为它真重要。2、不要进行多文件压缩,不要把html、css、js压到一起,很不明智的做法。3、前端安全,就是js代码安全,对js做混淆加密是正道!
52950编辑于 2023-10-11 - 来自专栏信安之路
代码安全之上传文件
客户端JS验证 原理介绍 通过JS验证上传文件类型是最不安全的做法,因为这个方式是最容易被绕过的。我们先来看下JS实现文件检测的代码如下: ? 验证MIME头的测试代码 ? 以上是一个简单的服务器上传验证代码,只要MIME头符合image/gif就允许上传。 绕过技巧 1 使用大小写绕过(针对对大小写不敏感的系统如windows),如:PhP 2 使用黑名单外的脚本类型,如:php5 3 借助文件解析漏洞突破扩展名验证,如:test.jpg.xxx(apache %00.jpg 6 借助.htaccess文件上传恶意代码并解析。 安全建议 1 使用白名单限制可以上传的文件扩展 2 验证文件内容,使用正则匹配恶意代码限制上传 3 对上传后的文件统一随机命名,不允许用户控制扩展名 4 修复服务器可能存在的解析漏洞 5 严格限制可以修改服务器配置的文件上传如
1.8K00发布于 2018-08-08 - 来自专栏Xcheck代码安全检查
腾讯代码安全检查Xcheck
image.png 0x00 Xcheck介绍 Xcheck是一个由腾讯公司CSIG质量部代码安全检查团队自研的静态应用安全测试(SAST,Static application security testing )工具,致力于挖掘代码中隐藏的安全风险,提升代码安全质量。 Bottle,BaseHTTPServer 0x01 Xcheck的优势 Xcheck在基于成熟的污点分析技术与对抽象语法树的精准剖解上,通过巧妙优雅的实现来达到对污点的传递和跟踪的目的,更精准地发现隐藏在代码中的安全风险 耗时31s,检测出3个RCE漏洞,2.6.3版本不存在checkParameterWhiteList过滤函数,检测结果如下图。 image.png image.png ---- 想了解Xcheck更多信息或者代码安全审计相关技术欢迎长按关注xcheck公众号~ image.png
8.5K80发布于 2020-12-01 - 来自专栏人工智能领域
安全漏洞代码扫描
安全漏洞代码扫描是确保软件安全的重要步骤,它可以帮助发现潜在的安全问题,从而在软件发布之前修复它们。 集成到开发流程:将代码扫描集成到持续集成/持续部署(CI/CD)流程中,确保每次代码提交或合并请求都会触发安全扫描。 2.扫描过程 静态应用程序安全测试(SAST): SAST 工具在不需要执行代码的情况下分析源代码、字节码或二进制代码,以寻找安全漏洞。 代码质量分析: 一些工具如 SonarQube 除了安全漏洞扫描外,还能提供代码质量分析,帮助改善代码的整体质量。 3.扫描结果处理 审核和评估结果:对扫描结果进行审核,评估发现的安全问题的严重性和优先级。 修复漏洞:根据评估结果,制定修复计划并分配任务给相应的开发人员。
1K10编辑于 2024-12-18 - 来自专栏python3
python 安全编码&代码审计
1 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。 代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 3 CSRF 对系统中一些重要的操作要做CSRF防护,比如登录,关机,扫描等。 老实说最烦这种写代码的啦。 在python中xml.dom.minidom,xml.etree.ElementTree不受影响 9 不安全的封装 9.1 eval 封装不彻底 仅仅是将__builtings__置为空,如下方式即可绕过
2.6K10发布于 2020-01-13 - 来自专栏python基础文章
网络安全协议(3)
这方面的例子如国内的安胜3.0操作系统、作为基于Linux核心的安全增强操作系统、达到国标GB17859的第3级标准。 ---- 3.国产操作系统的安全等级 相对来说,中国的安全操作系统研究起步较晚,但也开展了一系列工作。 该系统是我国首次基于Linux源代码研制成功的符合国标计算机信息系统安全保护等级划分准则第4级要求的高安全等级操作系统。是目前国内安全等级最高的安全信息系统。 目标代码兼容的国产服务器操作系统。 (3)Asianux操作系统 2008年,红旗软件(中国)、MiracleLinux公司(日本)和韩软公司(韩国)联合签署了安全Asianux操作系统联合开发协议,宣称Asianux将成为最先进的安全
53630编辑于 2023-10-15 - 来自专栏python3
3A安全认证服务
整个系统在网络管理与安全问题中十分有效。 基于AAA安全认证的协议包括两个:radius和tacacs RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866 无论通过tacacs还是radius服务器都可以实现网络设备用户的统一管理,集中认证,从而实现安全的认证与登录。 AAA服务器的工作原理: ?
2.3K10发布于 2020-01-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号