- 综合排序
- 最热优先
- 最新优先
- 来自专栏vivo互联网技术
开发框架文档体系化的思考
问题2:文档内容存在缺漏,用户短时间就可以看完所有的文档,并且没有按照功能特性进行分类,需要看全部文档。 问题3:没有做竞品分析,没有明确介绍内部框架与开源同类框架到底有什么差异。 问题6:框架当前的owner从用户角度来说不清晰。 2.2、案例二问题识别 问题1:项目网站地址要人为单独记忆,宣传难度极大。 问题2:框架文档没有做到能轻易获取,需要用户尝试不确定性搜索。 背景及领域相关知识(介绍背景、基础原理、领域相关知识、专有名词,将部分用户的知识水平尽量拉抬到开发者相同层次) 适用场景,以及场景对应的依赖与限制 接入、使用、调优相关 质量信息(功能测试、性能测试、安全性相关 “快速开始”顾名思义就是引导用户快速了解框架,非常重要,注意要以最简洁的话语、最简的配置、最少的代码、最少的依赖,以最小的篇幅来进行说明,目标是2分钟内能看懂。 如下为我们团队开发的分布式锁框架”详细说明“页面的目录: 2、功能流程逻辑 2.1 功能使用 功能流程逻辑可以理解为一个功能使用时的多个具体步骤的串联。
1.3K1716发布于 2020-06-15 - 来自专栏Vue源码 & 前端进阶体系
【安全】 XSS 防御
2、识别用户浏览器。 3、伪造请求。 4、配合钓鱼网站进行攻击 那我们怎么针对上面的手法进行防御,两种方式 1、禁止客户端访问 cookie 2、内容检查 下面来逐个介绍一下 禁止访问Cookie XSS 不能会窃取用户的 cookie,来假冒用户的登录吗 杀敌一千,四损八百,而且并没有根本上解决 XSS,只是减少了 XSS 的发生 因为能走到这一步的,说明恶意脚本还是执行了 就算你不让他获取 cookie,他还是可以做其他事情的 所以我们就有了下一个根本的防御的方法 检查输入框,用户输入的内容 2、输出检查。 输出检查 虽然我们已经做了输入检查,但是我们永远要做更多的防御措施,以免有漏网之鱼 并且这一步是防御 XSS 最关键的一步,因为往往就是在这一步,把 恶意脚本插入到文档中 而导致脚本执行,从而发生攻击,
1.5K20发布于 2020-02-17 - 来自专栏有价值炮灰
初探 Struts2 框架安全
最近分析 confluence 的漏洞,发现是基于 Struts 框架的,其中有很多相关知识点并不了解,因此专门来学习一下 Struts 2。 从目前的情况来看,Struts 对于 OGNL 的防御还是基于黑名单,那么是否能够完全防御代码注入攻击呢?这个就见仁见智了。 confluence 由 Atlassian 开发是一个知识库管理服务,支持本地部署,其 Web 框架主要基于 Struts 2。 ,但同时也带来了潜在的安全问题。 虽然现在该框架在新项目中使用不多,但也有一些亮眼的地方,比如拦截器的架构和参数绑定的功能,这些设计思想在许多后继者如 SpringMVC 中也继续发扬光大;但也有一些弊病比如强依赖 OGNL 和迷之路由查找也导致了许多安全问题
92920编辑于 2023-11-02 - 来自专栏HACK学习
Web安全与防御
防御方法 1、通过 referer、token 或者验证码来检测用户提交。 2、尽量不要在页面的链接中暴露用户隐私信息。 3、对于用户修改删除等操作最好都使用 post 操作。 是发生于应用程序之数据库层的安全泄露。 防御方法 1. 、验证并转义用户输入 2、base64编码 3、绑定变量,使用预编语言 4、控制用户的权限,以及做好数据库本身的安全工作 文件上传漏洞 是指网络攻击者上传了一个可执行的文件到服务器并执行。 防御方法 1、拼宽带 2、流量清洗或者封 IP 3、CDN 服务 4、花钱买相应的防御服务
81520发布于 2019-08-07 2025 中国工商银行金融科技研究院等 中国金融生成式AI多模态内容鉴伪与安全防御白皮书(2025) 发布,提出体系化安全防御框架
推动金融业迈向“AI原生”新时代,政策与市场双轮驱动下金融业积极拥抱(2024年中国金融行业生成式AI投资规模36.26亿元,预计2028年达238.04亿元,增幅556.5%;2024Q1-2025Q2产生 但技术滥用致多模态内容伪造成金融安全新挑战。报告倡导负责任创新,通过鉴伪与防御技术遏制滥用,构建从技术到管理的多层次综合治理防御生态,保障数字空间信息安全与可信秩序。 •核心分析模型:技术实践战略矩阵、生成式AI多模态伪造攻击原理和场景分析(技术层、场景层)、生成式AI多模态鉴伪五大难点模型、事前-事中-事后防御全链路困境分析模型、生成式AI多模态内容安全防御体系(端到端防御系统 )、监管合规(法律框架滞后致合规认定困境与法律风险)、风控难度(传统风控模型失效、规则滞后)、防御成本(安全投入指数级增长加剧行业分化)、技术对抗(攻防不对称性使防御方被动)。 •解决方案:构建生成式AI多模态内容安全防御体系,含“端到端防御系统”(风险场景渠道、风险分析与决策、风险处置&运营分析)与“进化与支撑系统”(多模态样本库与实验平台、AI基础设施与算力平台、威胁情报联盟
30110编辑于 2026-04-11- 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略
起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 ? 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本 有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。 第六:管理员帐号安全性要高 怎么个高法? 用户名和密码多种字符串联使用,比如:用户名D2e+@6~p;8[I 密码 k8/*W&^/j6>b.0 那些黑客会利用脚本自动化访问输入用户名密码来暴力破解。
69940发布于 2021-08-03 - 来自专栏腾讯云安全专家服务
你该搞清楚的体系化安全思维
引言 背景 结合自己许多安全实战项目和曾经CISP讲师经历,从CISP的体系框架出发。 总结下,搞懂安全应该具备的体系化安全思维和知识背景 此文可助你 1.辅助对遇到安全问题的正确决策 2.待解决的安全问题价值定义,分析及判断 3.日常工作中碰到的所有安全问题及安全现象,你都可以从以下思维理解他 ,移动应用安全问题,个人隐私保护问题 (2)安全策略:政策管控,应用分发管控,加强隐私保护要求 7.6智慧城市 安全保障框架 1.基于时间的PDR和P2DR及IPDRR模型 1.1 2.4 IATF 3个安全原则 (1)保护多个位置 (2)分层防御 (3)安全强健性 2.5 IATF特点 全方位防御、纵深防御将系统风险降到最低;信息安全不纯粹是技术问题,而是一项复杂的系统工程 组件层(实施者视图) (6)运营层(服务和管理视图) SABSA 4步骤 (1)战略与规划 (2)设计 (3)实施 (4)管理与测量 6.2 Zachman框架 image.png 6.3 TOGAF开放群组架构框架
2.8K154编辑于 2022-03-25 - 来自专栏PHP在线
PHP安全:session劫持的防御
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。 深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。 > 这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
1.7K80发布于 2018-03-07 - 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略(续)
续 承接上一篇:WordPress安全防御攻略 第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口 Files *.php> Order Allow, Deny Deny from all </Files> </Directory> 第十二:主机服务器设防 靠谱的主机服务商都包含主机安全 ,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。
1.4K40发布于 2021-08-03 - 来自专栏数说工作室
更主动的安全防御
笔者从安全防御的 “主动性” 角度,总结了企业安全建设的三个层次,这三层不是演进替代的关系,而是叠加: 第一层是筑牢基本防线,建立运营流程 安全的基本防线构建大概分为三块: 1)安全套件 互联网边界上标准安全架构 2. 第二层是体系化、协同化的建设,加上自动化、智能化的运营,使整个安全堡垒能够自适应、自“学习” 1)一方面,基于前期部署的安全套件,通过协同和运营,形成一个安全机制,比如: 零信任安全办公体系,基于“终端 第三层是强化溯源研判的软硬实力,部署威胁猎捕工具,协同外部执法力量对攻击者进行打击 前面2层还是“防御”层次,只是对攻击行为能够更主动的防御。而第三层,则开始对攻击源开始反制。 本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次,主动性未必代表成熟度。作为企业安全人员,应该根据安全建设的目标、资源情况,综合进行考虑。
53220编辑于 2022-08-31 - 来自专栏乌鸦安全
通过攻击看透安全开发、安全运维、安全防御
就拿木马举例,各种形式的木马,变相产生了各种杀毒软件,web安全狗,360安全卫士,火绒,windowsdefander,卡巴斯基,各种病毒专杀工具。 0x01 攻防发展剖析 首先,先来剖析传统互联网的信息安全防御体系。 红队的攻击依靠信息收集进行,信息收集到的cms框架指纹越多,收集到的端口服务越多,服务及框架存在漏洞的可能越大,这也给红队从不同角度攻击目标提供了无限的可能。 在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。 每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
1.1K20编辑于 2022-08-11 - 来自专栏逆向与安全
web安全防御之RASP技术
0x00:web安全防御技术介绍 1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤,其中功能设计、编码测试 、发布部署、系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。 ,就可以自动对其进行防御。 图1 如图1所示,RASP可以防御OWASP漏洞与第三方框架漏洞及应用性能监控等。 0x02:RASP防御实现与攻防测试(JAVA) 1.Java版的RASP技术使用javaagent机制来实现。 0x04:总结 1.目前RASP还处于发展中阶段,没有像WAF等常见的安全产品一样有非常明确的功能边界(scope),此文仅为技术学习,更多RASP防御技术与新用法还可以发挥想象,比如日志监控、管理会话
6.2K31发布于 2019-05-15 - 来自专栏小生观察室
云环境下安全防御101
视频内容 云环境下安全防御101 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。
90930发布于 2021-04-08 - 来自专栏深度前端
【安全系列】CSRF攻击与防御
script标签的src属性跨域获取数据(前面说到带src属性的html标签都可以跨域),并且把刚才定义的回调函数的名称传递给了后端,于是后端构造出“jsonpCallback({“a”:1, “b”:2, 六、CSRF攻击防御 【HTTP Referer 字段校验】 比如上一个场景,恶意攻击被发起时,请求的Referer会指向恶意网站,因此要防御CSRF攻击,可能对Referer字段校验,如果不是本域或者指定域过来的请求
1.3K00发布于 2020-04-19 - 来自专栏Web大前端
前端安全:XSS攻击与防御策略
2. 框架和库的安全配置: 使用安全更新的前端框架,如React、Vue等,它们通常内置了一些XSS防护机制。 利用库提供的安全功能,比如Angular的ngSanitize。 7. 安全编码训练: 提供定期的安全编码训练,使开发人员了解最新的安全威胁和防御技术。 40. 使用安全认证: 考虑获取如ISO 27001、SOC 2或CSA STAR等信息安全认证,这表明了对安全的承诺和遵循的严格标准。 41. 安全更新和补丁: 及时安装操作系统、框架、库和其他依赖的更新和安全补丁,保持系统安全。 49. 安全文化: 建立一种安全文化,鼓励员工报告安全问题,奖励安全行为,使安全成为公司价值观的一部分。
1.2K10编辑于 2024-06-13 - 来自专栏网站漏洞修补
网站漏洞安全攻击防御过程
漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法。 通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏洞的攻击路径。 网站安全攻防演练中发现的问题和整改建议,网站安全攻防演练中存在的问题,对于网络攻击者来说,弱密码使用难度低,频率高,容易造成严重伤害和损失。 在网站安全攻防演练中,如果用户密码复杂,但有一定的规律性,很容易被攻击者破解。 集权设备的安全风险也是网站安全攻击者更关心的目标之一。在运维管理方面,集权设备的出现大大提高了管理的便利性,但也带来了安全风险。
99350编辑于 2022-02-23 - 来自专栏数通
CentOS系统安全配置防御维度
安全部署防御维度都有哪些 CentOS 系统安全配置的主要意图是构建一个防御性架构,通过多层次防护措施降低系统被攻击的风险,确保数据和服务的安全性、完整性和可用性。 入侵检测与防御 • 意图:实时监控和阻断恶意行为 • 实现方式: • 启用审计服务(auditd)记录关键操作 • 部署 fail2ban 防暴力破解 • 定期扫描 rootkit(rkhunter、chkrootkit • 纵深防御:不依赖单一防护层(网络+主机+应用) • 默认拒绝:白名单机制(如防火墙只放行必要端口) • 零信任:即使内部访问也需验证(如 SSH 密钥) ℹ️ 注意:安全配置需平衡安全性与可用性。 -exec ls -la {} \; 2>/dev/null 七、服务与进程安全 1. 应用配置 sudo sysctl -p 十、定期安全检查 1. 安装安全检查工具 sudo yum install rkhunter chkrootkit lynis -y 2.
30410编辑于 2025-07-14 - 来自专栏网络安全技术点滴分享
防御性安全播客第266期:深入解析网络安全事件与防御策略
防御性安全播客第266期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖技术分析与防御实践。主要内容包括:1. Uber首席信息安全官审判案例事件背景:涉及真相、透明度和信任在安全事件中的重要性 参考链接:CSO Online报道2. BPFdoor全球监控工具技术架构:基于BPF技术的中国活跃监控工具 工作原理:用户态与内核态协同监控机制 参考链接:DoublePulsar技术分析技术防御建议针对Linux系统进程保护提出监控方案
18100编辑于 2025-08-28 - 来自专栏网络安全技术点滴分享
防御性安全播客第250期:深入解析网络安全事件与防御策略
防御性安全播客第250期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖以下技术性内容:1. Pulse Secure VPN修补后漏洞利用事件引用ZDNet报道:美国国土安全部CISA警告企业,即使已完成Pulse Secure VPN补丁安装,攻击者仍能通过残留漏洞实施入侵技术细节涉及VPN 身份验证绕过和会话劫持机制2. (C2)通道的技术实现3. 披露洛杉矶县政府系统遭入侵事件技术特征包含:双重勒索策略(数据加密+威胁泄露)利用网络横向移动技术文件加密算法和密钥交换机制相关资源CISA官方技术公告Web Shell技术分析报告勒索软件事件响应指南技术防御建议实施漏洞修复验证流程部署
27710编辑于 2025-08-20 AI Agent系统的透明化构建与纵深防御架构落地指南
当前业界的防御工程性防御为主,主要依靠事后制止,缺乏体系化解决模块化、透明可信构建的框架架构。 基于多智能体协同与L0-L5纵深防御的架构设计 为解决代码生成缺乏可控性及推理过程不透明的问题,腾讯朱雀实验室提出并落地了体系化的防御与开发架构: 1. RA-Gen多智能体高安全代码生成框架 基于ReAct范式,该框架将复杂任务透明化拆解,构建包含四个核心Agent的闭环交互流程: Planner(任务分解与初始推理):生成初始推理轨迹; Searcher 2. L3 Agent核心逻辑层:部署安全沙箱、工具调用权限及参数合法性校验; L2 应用网关层:Prompt防火墙、恶意指令重写及输出内容脱敏; L1 模型与数据层:模型自身对齐、训练/RAG数据清洗与红队测试
27930编辑于 2026-04-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号