- 综合排序
- 最热优先
- 最新优先
- 来自专栏vivo互联网技术
开发框架文档体系化的思考
问题3:没有做竞品分析,没有明确介绍内部框架与开源同类框架到底有什么差异。 问题4:框架配置参数说明过于简单,没有相应的领域知识介绍,用户看不明白或者不理解。 背景及领域相关知识(介绍背景、基础原理、领域相关知识、专有名词,将部分用户的知识水平尽量拉抬到开发者相同层次) 适用场景,以及场景对应的依赖与限制 接入、使用、调优相关 质量信息(功能测试、性能测试、安全性相关 (9)升级指导:用于指导用户如何升级版本。 (10)设计及原理:包含各种类型的设计文档、原理说明、源码导读。 首先要对框架进行整体介绍,这个可以放到框架首页,接着明确要输出文档的类别(按照框架的不同可以选择性的写对应类别的文档,当然不是一定要输出全部6个类别的文档)及对框架功能特性进行枚举,这是一个“总-分”的过程 在图二分布式锁框架的文档目录中,从功能框架逻辑上来说,“依赖与限制”内容虽然也会比较少,但是一般在使用一个框架的时候是必看的内容,因此这里将其作为独立的模块。
1.3K1716发布于 2020-06-15 - 来自专栏Vue源码 & 前端进阶体系
【安全】 XSS 防御
4、配合钓鱼网站进行攻击 那我们怎么针对上面的手法进行防御,两种方式 1、禁止客户端访问 cookie 2、内容检查 下面来逐个介绍一下 禁止访问Cookie XSS 不能会窃取用户的 cookie,来假冒用户的登录吗 杀敌一千,四损八百,而且并没有根本上解决 XSS,只是减少了 XSS 的发生 因为能走到这一步的,说明恶意脚本还是执行了 就算你不让他获取 cookie,他还是可以做其他事情的 所以我们就有了下一个根本的防御的方法 下面记录一个转么转义 html 特殊字符的 方法 */ 网上还有更加完善的方法,这里就是简单记录理解一下,大家在项目中使用时要使用更加完善的方法 2 输出检查 虽然我们已经做了输入检查,但是我们永远要做更多的防御措施 ,以免有漏网之鱼 并且这一步是防御 XSS 最关键的一步,因为往往就是在这一步,把 恶意脚本插入到文档中 而导致脚本执行,从而发生攻击,所以在我们必须把内容插入到 HTML 文档中时,需要检查 该内容是否
1.5K20发布于 2020-02-17 - 来自专栏HACK学习
Web安全与防御
xss攻击(跨站脚本) 是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。 是发生于应用程序之数据库层的安全泄露。 防御方法 1. 、验证并转义用户输入 2、base64编码 3、绑定变量,使用预编语言 4、控制用户的权限,以及做好数据库本身的安全工作 文件上传漏洞 是指网络攻击者上传了一个可执行的文件到服务器并执行。 防御方法 1、拼宽带 2、流量清洗或者封 IP 3、CDN 服务 4、花钱买相应的防御服务
81520发布于 2019-08-07 2025 中国工商银行金融科技研究院等 中国金融生成式AI多模态内容鉴伪与安全防御白皮书(2025) 发布,提出体系化安全防御框架
第一章:报告基础信息 •报告标题:中国金融生成式AI多模态内容鉴伪与安全防御白皮书(2025) •发布机构:中国工商银行金融科技研究院、腾讯云、腾讯云计算(北京)有限责任公司、北京金融科技产业联盟 但技术滥用致多模态内容伪造成金融安全新挑战。报告倡导负责任创新,通过鉴伪与防御技术遏制滥用,构建从技术到管理的多层次综合治理防御生态,保障数字空间信息安全与可信秩序。 •核心分析模型:技术实践战略矩阵、生成式AI多模态伪造攻击原理和场景分析(技术层、场景层)、生成式AI多模态鉴伪五大难点模型、事前-事中-事后防御全链路困境分析模型、生成式AI多模态内容安全防御体系(端到端防御系统 )、监管合规(法律框架滞后致合规认定困境与法律风险)、风控难度(传统风控模型失效、规则滞后)、防御成本(安全投入指数级增长加剧行业分化)、技术对抗(攻防不对称性使防御方被动)。 •解决方案:构建生成式AI多模态内容安全防御体系,含“端到端防御系统”(风险场景渠道、风险分析与决策、风险处置&运营分析)与“进化与支撑系统”(多模态样本库与实验平台、AI基础设施与算力平台、威胁情报联盟
30110编辑于 2026-04-11- 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略
起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 ? 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本 有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。 第六:管理员帐号安全性要高 怎么个高法? 还可以限制登录次数,插件推荐 Login LockDown 当前更新于2016年9月 篇幅有限,明天来第二波!
69940发布于 2021-08-03 - 来自专栏腾讯云安全专家服务
你该搞清楚的体系化安全思维
引言 背景 结合自己许多安全实战项目和曾经CISP讲师经历,从CISP的体系框架出发。 总结下,搞懂安全应该具备的体系化安全思维和知识背景 此文可助你 1.辅助对遇到安全问题的正确决策 2.待解决的安全问题价值定义,分析及判断 3.日常工作中碰到的所有安全问题及安全现象,你都可以从以下思维理解他 BA%A6%E5%B8%AD%E6%A3%AE%C2%B7%E5%9B%BE%E7%81%B5/3940576 主要关注传输过程中的数据保护(安全就是拿来搞窃听和防止窃听的) (1)安全威胁:搭线窃听、 那个年代计算机主要以军用为主 https://baike.baidu.com/item/%E6%97%8B%E9%A2%A8%E8%A8%88%E7%AE%97%E6%A9%9F/10504016 2.4 IATF 3个安全原则 (1)保护多个位置 (2)分层防御 (3)安全强健性 2.5 IATF特点 全方位防御、纵深防御将系统风险降到最低;信息安全不纯粹是技术问题,而是一项复杂的系统工程
2.8K154编辑于 2022-03-25 - 来自专栏PHP在线
PHP安全:session劫持的防御
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。 深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。 > 这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
1.7K80发布于 2018-03-07 - 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略(续)
续 承接上一篇:WordPress安全防御攻略 第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口 Files *.php> Order Allow, Deny Deny from all </Files> </Directory> 第十二:主机服务器设防 靠谱的主机服务商都包含主机安全 ,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。
1.4K40发布于 2021-08-03 - 来自专栏云鼎实验室的专栏
新型漏洞威胁如何高效防御?9月15日19点腾讯安全专家带你揭秘
9月15日(周四)19:00,腾讯安全将带来《新型漏洞威胁攻防思路拆解》主题公开课,邀请尹亮、赵中树两位深耕网络安全行业10余载的腾讯安全技术专家带来分享,深入剖析漏洞攻击典型案例及腾讯防护新思路,帮助企业从攻击者视角 公开课议程及嘉宾简介 议题:重保期间新型漏洞攻击案例拆解 9月15日周四晚 19:00 - 19:30 尹亮,Pwn2Own世界冠军战队成员、腾讯安全技术专家 专注于JAVA、Windows/Linux 议题:腾讯漏洞防护新思路 9月15日周四晚 19:30 - 20:00 赵中树,腾讯安全技术专家 十年信息安全从业经验。主要研究方向: 主机安全、网络安全、入侵检测及漏洞防御等。 曾负责主机安全、全流量、数字水印、恶意DNS拦截等项目研发及工程化落地。 预告一个彩蛋 此外,本期公开课专家将会首次揭秘腾讯安全RASP+泰石引擎漏洞防护方案,起底相比于主流RASP方案,加在哪? 感兴趣的小伙伴千万不要错过哦~ END 更多精彩内容点击下方扫码关注哦~ 云鼎实验室视频号 一分钟走进趣味科技 -扫码关注我们- 关注云鼎实验室,获取更多安全情报
1.1K50编辑于 2022-09-15 - 来自专栏数说工作室
更主动的安全防御
防御这个词好像天然是被动性的,别人来攻击,你来防守,要处处防着对方,小心被对方渗透进来。 因为攻击者在暗,防守方在明,只有攻击者出手的份,防守方对攻击者似乎做不了什么。 笔者从安全防御的 “主动性” 角度,总结了企业安全建设的三个层次,这三层不是演进替代的关系,而是叠加: 第一层是筑牢基本防线,建立运营流程 安全的基本防线构建大概分为三块: 1)安全套件 互联网边界上标准安全架构 第二层是体系化、协同化的建设,加上自动化、智能化的运营,使整个安全堡垒能够自适应、自“学习” 1)一方面,基于前期部署的安全套件,通过协同和运营,形成一个安全机制,比如: 零信任安全办公体系,基于“终端 第三层是强化溯源研判的软硬实力,部署威胁猎捕工具,协同外部执法力量对攻击者进行打击 前面2层还是“防御”层次,只是对攻击行为能够更主动的防御。而第三层,则开始对攻击源开始反制。 本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次,主动性未必代表成熟度。作为企业安全人员,应该根据安全建设的目标、资源情况,综合进行考虑。
53220编辑于 2022-08-31 - 来自专栏学习笔记ol
框架分析(9)-Hibernate
框架分析(9)-Hibernate 主要对目前市面上常见的框架进行分析和总结,希望有兴趣的小伙伴们可以看一下,会持续更新的。希望各位可以监督我,我们一起学习进步。 Hibernate Hibernate是一个开源的Java持久化框架,它提供了一种将Java对象映射到数据库表的方法,使得开发人员可以使用面向对象的方式来操作数据库。 性能问题 Hibernate框架在某些情况下可能会引起性能问题。由于Hibernate需要进行对象的映射和关联查询,可能会导致一些额外的开销。 总结 Hibernate框架具有简化数据库操作、跨数据库平台、高度可定制性、缓存机制、查询语言等优点。然而,它也存在学习曲线较陡、性能问题、复杂性和难以调试等缺点。 强调 Hibernate是一个强大的Java持久化框架,它简化了开发人员对数据库的操作,提高了系统的性能和可维护性。
48220编辑于 2023-10-11 - 来自专栏乌鸦安全
通过攻击看透安全开发、安全运维、安全防御
就拿木马举例,各种形式的木马,变相产生了各种杀毒软件,web安全狗,360安全卫士,火绒,windowsdefander,卡巴斯基,各种病毒专杀工具。 0x01 攻防发展剖析 首先,先来剖析传统互联网的信息安全防御体系。 红队的攻击依靠信息收集进行,信息收集到的cms框架指纹越多,收集到的端口服务越多,服务及框架存在漏洞的可能越大,这也给红队从不同角度攻击目标提供了无限的可能。 在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。 每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
1.1K20编辑于 2022-08-11 - 来自专栏逆向与安全
web安全防御之RASP技术
0x00:web安全防御技术介绍 1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤,其中功能设计、编码测试 、发布部署、系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。 图1 如图1所示,RASP可以防御OWASP漏洞与第三方框架漏洞及应用性能监控等。 0x02:RASP防御实现与攻防测试(JAVA) 1.Java版的RASP技术使用javaagent机制来实现。 如图9所示的 paylad。 ? 0x04:总结 1.目前RASP还处于发展中阶段,没有像WAF等常见的安全产品一样有非常明确的功能边界(scope),此文仅为技术学习,更多RASP防御技术与新用法还可以发挥想象,比如日志监控、管理会话
6.2K31发布于 2019-05-15 - 来自专栏小生观察室
云环境下安全防御101
视频内容 云环境下安全防御101 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。
90930发布于 2021-04-08 - 来自专栏深度前端
【安全系列】CSRF攻击与防御
六、CSRF攻击防御 【HTTP Referer 字段校验】 比如上一个场景,恶意攻击被发起时,请求的Referer会指向恶意网站,因此要防御CSRF攻击,可能对Referer字段校验,如果不是本域或者指定域过来的请求
1.3K00发布于 2020-04-19 - 来自专栏Web大前端
前端安全:XSS攻击与防御策略
框架和库的安全配置: 使用安全更新的前端框架,如React、Vue等,它们通常内置了一些XSS防护机制。 利用库提供的安全功能,比如Angular的ngSanitize。 7. 避免使用内联表达式,而是使用安全的占位符或变量。 9. 避免内联CSS和JavaScript: 尽可能使用外部样式表和脚本文件,而不是在HTML中内联它们。内联样式和脚本容易成为XSS攻击的目标。 社区和资源利用: 关注安全社区和论坛,如OWASP、GitHub的安全公告,及时获取最新的安全情报和修复方案。 利用开源安全工具和框架,这些工具经常经过社区的广泛测试和验证,能有效提升应用的安全性。 安全编码训练: 提供定期的安全编码训练,使开发人员了解最新的安全威胁和防御技术。 40. 安全更新和补丁: 及时安装操作系统、框架、库和其他依赖的更新和安全补丁,保持系统安全。 49. 安全文化: 建立一种安全文化,鼓励员工报告安全问题,奖励安全行为,使安全成为公司价值观的一部分。
1.2K10编辑于 2024-06-13 - 来自专栏网站漏洞修补
网站漏洞安全攻击防御过程
漏洞分析和渗透测试是网站安全攻击和防御演习攻击者的常用方法。 通过收集目标系统的信息和综合分析,使用适当的攻击工具对目标系统的安全漏洞进行相关分析,验证漏洞的使用方法和难度,并通过各种攻击方法找到潜在漏洞的攻击路径。 网站安全攻防演练中发现的问题和整改建议,网站安全攻防演练中存在的问题,对于网络攻击者来说,弱密码使用难度低,频率高,容易造成严重伤害和损失。 在网站安全攻防演练中,如果用户密码复杂,但有一定的规律性,很容易被攻击者破解。 集权设备的安全风险也是网站安全攻击者更关心的目标之一。在运维管理方面,集权设备的出现大大提高了管理的便利性,但也带来了安全风险。
99350编辑于 2022-02-23 - 来自专栏数通
CentOS系统安全配置防御维度
安全部署防御维度都有哪些 CentOS 系统安全配置的主要意图是构建一个防御性架构,通过多层次防护措施降低系统被攻击的风险,确保数据和服务的安全性、完整性和可用性。 入侵检测与防御 • 意图:实时监控和阻断恶意行为 • 实现方式: • 启用审计服务(auditd)记录关键操作 • 部署 fail2ban 防暴力破解 • 定期扫描 rootkit(rkhunter、chkrootkit 持续性安全维护 • 意图:建立长期安全运维机制 • 实现方式: • 自动安全更新(yum-cron) • 定期安全检查任务(通过 cron 调度) • 内核参数优化(如防 SYN 洪水攻击) 关键安全理念体现 • 纵深防御:不依赖单一防护层(网络+主机+应用) • 默认拒绝:白名单机制(如防火墙只放行必要端口) • 零信任:即使内部访问也需验证(如 SSH 密钥) ℹ️ 注意:安全配置需平衡安全性与可用性。 CentOS系统的安全性。
30410编辑于 2025-07-14 - 来自专栏网络安全技术点滴分享
防御性安全播客第266期:深入解析网络安全事件与防御策略
防御性安全播客第266期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖技术分析与防御实践。主要内容包括:1. Uber首席信息安全官审判案例事件背景:涉及真相、透明度和信任在安全事件中的重要性 参考链接:CSO Online报道2. BPFdoor全球监控工具技术架构:基于BPF技术的中国活跃监控工具 工作原理:用户态与内核态协同监控机制 参考链接:DoublePulsar技术分析技术防御建议针对Linux系统进程保护提出监控方案
18100编辑于 2025-08-28 - 来自专栏网络安全技术点滴分享
防御性安全播客第250期:深入解析网络安全事件与防御策略
防御性安全播客第250期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖以下技术性内容:1. Pulse Secure VPN修补后漏洞利用事件引用ZDNet报道:美国国土安全部CISA警告企业,即使已完成Pulse Secure VPN补丁安装,攻击者仍能通过残留漏洞实施入侵技术细节涉及VPN Web Shell后门攻击技术分析根据BankInfoSecurity报告,攻击者正在增加使用Web Shell创建持久化后门具体技术手段包括:利用文件上传漏洞部署ASPX/PHP后门通过混淆技术绕过传统安全检测建立命令与控制 披露洛杉矶县政府系统遭入侵事件技术特征包含:双重勒索策略(数据加密+威胁泄露)利用网络横向移动技术文件加密算法和密钥交换机制相关资源CISA官方技术公告Web Shell技术分析报告勒索软件事件响应指南技术防御建议实施漏洞修复验证流程部署
27710编辑于 2025-08-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号