- 综合排序
- 最热优先
- 最新优先
- 来自专栏漫流砂
内容劫持 | Electron 安全
对大家了解 Electron 开发的应用程序安全有帮助,与每个人切实相关 但是那篇文章内容太多,导致很多内容粒度比较粗,可能会给大家造成误解,因此我们打算再写一些文章,一来是将细节补充清楚,二来是再次来呼吁大家注意 劫持网络 修改 /etc/hosts ,实现劫持 3. 建立 HTTP 服务器 使用 Python3 来进行模拟,页面内容保持和原本的内容一致,之后添加恶意的 <script> 标签 wget http://mirror.datamossa.io/ubuntu 使用 HTTPS 必须使用有效证书,不然和 HTTP 没有太大区别 看起来使用 HTTPS 远程加载资源是完全安全的,但实则也不是,这里也不光是 loadURL 这种方式远程加载内容的问题,本地加载,如果被加载内容远程加载了 ,密码表之类的,但是以发起一场大规模攻击的攻击者来说也就不一样了,因此需要关注证书安全 被加载内容存在XSS 这就是硬性内容了,属于强硬的攻防对抗,没什么瘦的 很多网站都使用了 cdn ,对于 https
96510编辑于 2024-04-22 - 来自专栏腾讯云安全专家服务
业务安全(1)-天御内容安全
目前天御内容安全主要有下面四种场景: 图片内容安全 文本内容安全 音频内容安全 视频内容安全 图片内容安全(Image Moderation System,IMS)能精准识别涉黄、涉恐、涉政等有害内容, 异常识别,目的是从各种异常类型中发掘最新变种,异常识别所做的工作见图3: 图3中异常类型主要分为内容异常和行为异常,常见的内容异常主要包括变种和行话/暗语,而行为异常表现为同一个人在不同地方发布相同内容 垃圾识别,其工作如下图所示: 从图5可见,依据影响业务健康度的程度和客户不同类型的拒绝策略,总体上将同一类垃圾类型划分为2类或3类: 白:正常内容 灰:疑似[可选] 黑:恶意内容 在垃圾内容识别上腾讯云天御采用关键词文法过滤 : ( 内容仅针对文本和图片 ) 用户在腾讯云官网-控制台(内容安全链接),图片内容安全/文本内容安全界面内即可免费领取试用包、购买正式包。 (2)失败请求: 因图片内容安全系统故障导致正常的请求未到达图片内容安全服务端的请求。 (3)有效的总请求:图片内容安全服务端接收到的所有请求视为有效的总请求。
6.3K130发布于 2020-11-03 - 来自专栏黑伞安全
内容安全策略( CSP )
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 数据包嗅探攻击 除限制可以加载内容的域,服务器还可指明哪种协议允许使用;比如 (从理想化的安全角度来说),服务器可指定所有内容必须通过HTTPS加载。 使用 CSP 配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面,并配置相应的值,以控制用户代理(浏览器等)可以为该页面获取哪些资源。 一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。本文阐述如何恰当的构造这样的头部,并提供了一些例子。 (域名不必须与CSP设置所在的域名相同) Content-Security-Policy: default-src 'self' *.trusted.com 示例 3 一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片
4K31发布于 2020-08-10 - 来自专栏Seebug漏洞平台
绕过混合内容警告 - 在安全的页面加载不安全的内容
) 毋庸置疑,当今网络正在向 HTTPS(安全)内容发展。 混合内容警告 攻击者最近有个问题,因为他们的技巧只在不安全的页面有效,而浏览器默认情况下不从安全网站呈现不安全的内容。 考虑一点: IE/Edge (和其他浏览器) 拒绝从安全的域(HTTPS)加载不安全的内容 (HTTP) . 现代浏览器默认情况下不会渲染混合内容(来自安全站点的不安全数据)。 当不安全的 bing.com 试图渲染另一个不安全的 iframe 内部内容时,问题发生了。换句话说,iframe 的子元素也需要是安全的或者绕过这点,相同的技巧也需要重定向。 document.write ,iframe 就可以自由加载不安全的内容了,而且无需重定向。
4.2K70发布于 2018-03-29 - 来自专栏腾讯安全
云上造物,内容更安全
与此同时,互联网内容井喷式增长,数据种类多样化,需求场景复杂化。“云上造物”面临着前所未有的内容安全挑战,色情、暴力等违法违规内容不仅影响应用健康,更影响业务发展。如何更好地应对内容安全挑战? 腾讯安全天御内容风控有答案。在最近的版本更新中,腾讯安全天御内容风控打通多个云上组件,为开发者打造一站式、智能化的云上内容风控解决方案,在保障业务安全合规的同时,为用户提供创新优质体验。 升级后的天御内容风控平台更具智能化、精准化、灵活度。 开发者在构建对象存储(COS)、云直播(CSS)、实时音视频(TRTC)、游戏多媒体引擎(GME)、云点播(VOD)时,一键即可启用内容安全能力,为云上内容保驾护航。点击下图了解更多详情
1.1K20编辑于 2022-11-30 - 来自专栏信安之路
绕过内容安全策略总结
它是一种由开发者定义的安全性政策性申明,通过 CSP 指定可信的内容来源,让 WEB 处于一个安全的运行环境中。 内容源有如下选项: ? 内容源有三种:源列表、关键字和数据,其中 *,*.foo.com,abc.foo.com,https://a.com,https: 属于源列表。' : Content-Security-Policy: default-src 'self'; img-src 'self' data:; media-src mediastream: 图片源可以为同源内容或者是 data: 引用的资源,媒体源必须使用 mediastream: 引用,除此以外的都执行默认内容源判断,必须为同源内容。 c=[cookie]"> 在Firefox下无法用prefetch,因为Firefox有更高的安全规范,但是我们可以使用其他的方式,比如dns-prefetch,将cookie作为子域名,用dns预解析的方式把
2.6K10发布于 2018-08-08 - 来自专栏Khan安全团队
WordPress 安全复制内容保护和内容锁定 2.8.1 SQL 注入
action=ays_sccp_results_export_file&sccp_id[]=3)*&type=json" ' print(' Sqlmap options:') print('
1.1K40编辑于 2022-03-03 - 来自专栏科技云报道
内容安全沙龙在京召开:严守红线,共筑安全
本次会议上,中国信息通信研究院云大所云安全专家王敬宇对该标准进行了解读,该标准规定了内容安全解决方案的功能要求、性能要求、自身安全功能要求,云计算服务提供商和安全厂商的内容安全解决方案,其在功能设计、产品研制 探讨内容安全实践路径 共建网络“净土” 此次会议上,中国信息通信研究院及内容安全解决方案专家代表,围绕网络内容安全、不良信息治理技术,共建绿色健康的互联网环境等内容展开了分享和讨论。 腾讯云安全策略专家周耀辉分享了内容安全策略的最佳实践,基于四大场景的六类违规内容识别,通过智能AI+人工审核一站式解决目前网络中违规内容的问题。 同盾科技内容安全产品负责人李金桦分享了智能内容安全保护在直播场景下的应用,他认为内容防控是一个长期攻防对抗的业务过程,面对未来的内容安全市场,利用前沿的AI科技并对业务场景适配和精调,从技术上保证识别的效果 ,积极配合监管部门开展相关安全审查工作,建立信息安全重大保障期间的内容安全应急互动机制。
83110编辑于 2022-04-14 - 来自专栏罗超频道
李宁需要首席内容安全官
近年来类似的舆情事件日益增加,李宁们的危机也给众多品牌(不限于服装品牌)提了一个醒:务必将“内容安全体系”的建设提上日程,尽快设立与品牌副总裁同级的“首席内容安全官”,以类似于内审一样的第三方的身份对公司相关内容输出进行系统性的安全规划 内容安全官的部门要负责管控的内容,包括品牌VI、日常文案、产品包装、营销话术、产品设计语言、短视频内容等等,也包括高管在朋友圈等场所的公开发言。 此前,像字节跳动、百度这样的内容型平台对内容安全的把控已经做得相当规范、专业和成熟了。 在内容驱动的移动互联网时代,每家公司都将重视内容营销,一切品牌都将成为内容“厂牌”,企业内容输出日益增多,每个网友都有机会发现品牌的内容“漏洞”,针对此,品牌唯有积极预防,像信息安全一样以专业体系去发现内容的 这会催生品牌内容安全审核这样的新职业吗? END
60020编辑于 2022-12-14 - 来自专栏AI SPPECH
93_安全提示:过滤有害内容
上下文敏感度评估:评估上下文对安全性的影响 3. 3. 3. 主要特点: 声明式语法:使用简单的声明式语法定义安全规则 实时验证:对生成内容进行实时验证 结构化输出:确保输出符合预期格式 丰富的验证器:内置多种内容验证器 3. 新兴模态支持:支持AR/VR等新兴内容形式的安全防护 3.
51710编辑于 2025-11-16 - 来自专栏跟Qt君学编程
安全地写内容到文件
❞ 基本原理 「写入内容将被写入到一个临时文件,如果没有错误发生,则commit()会将其移至最终文件」。 ; /* 保存到实际文件(example.txt), 如不调用则example.txt不写入内容。
1.5K30发布于 2020-03-19 - 来自专栏Nicky's blog
Spring Security配置内容安全策略
Spring Security配置内容安全策略 1、什么是内容安全策略? 内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击 的header public void setResponseHeader(HttpServletRequest request,HttpServletResponse response) { //内容安全策略 StaticHeadersWriter("Report-To", REPORT_TO)) // 设置xss防护 .xssProtection() // 设置CSP内容安全策略 report-uri /report; report-to csp-violation-report");,然后登录页面,发现页面被一个外部链接的接口窃取了一些登录用户信息,这样是很危险的 所以,需要在配置类加上内容安全策略的设置
2.2K20编辑于 2022-05-13 - 来自专栏sonarqube
Fortify软件安全内容 2023 更新 1
如今,Fortify 软件安全内容支持 30 种语言的 1,399 个漏洞类别,涵盖超过 100 万个单独的 API。 Fortify优质内容研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。 访问控制策略访问控制:过于宽松的 S3 策略AWS Ansible 配置错误:不正确的 S3 存储桶网络访问控制访问控制:过于宽松的 S3 策略AWS CloudFormation 配置错误:不正确的 :缺少红移加密AWS CloudFormation 配置错误:不安全的 Redshift 存储不安全的存储:缺少 S3 加密AWS Ansible 配置错误:不安全的 S3 存储桶存储不安全的存储:缺少 S3 加密AWS CloudFormation 配置错误:不安全的 S3 存储桶存储不安全的存储:缺少 SNS 主题加密AWS CloudFormation 配置错误:不安全的 SNS 主题存储不安全的传输
11.6K30编辑于 2023-04-17 - 来自专栏漫途科技
大坝安全监测的内容及作用
大坝安全监测是指对大坝水雨情沉降、倾斜、渗压以及大坝形状特征有效地进行监测,及时发现潜在的安全隐患和异常情况,以便大坝管理人员能够做出科学决策,以确保大坝安全稳定运行。 大坝安全监测的主要内容1.表面位移监测:监测大坝边坡整体表面位置的变化及其变化速率(包括平面位移和垂直沉降),确定边坡整体位移变形的情况,是确定边坡稳定性重要指标之一。 3.渗流及含水量监测:监测大坝边坡内部地下水的分布情况,以及地下水对大坝的渗透作用。4.环境气象监测:监测大坝边坡所在地的水位、水温、气温、降雨量等环境状态。大坝安全监测的作用1. 提高水库大坝管理效率:水库大坝安全监测能够对水库的整体情况进行数字化展示,漫途大坝安全监测模块,通过内部采购,选型,集成,调试。将系统集成商所需的功能,在出厂前进行调试完毕,打包发出。 3.提高水库大坝应急抢险能力:水库大坝安全监测能够通过技术手段来完成雨量、水位、流量等多种参数的实时监测,并通过其上传的实时数据进行分析处理,来实现防洪、供水、发电等优化调度,为各级防汛指挥机构及时掌握汛情提供了有力的手段
93510编辑于 2023-11-28 - 来自专栏全栈程序员必看
SQL Server2000安全设置内容
SQL Server2000安全设置内容 一、打最新补丁SP4(2039); 二、使用Ipsec限制SQL2000访问IP; 三、删除下列存储过程和文件: 编号 存储过程名 存储过程类型 对应文件名 1 xp_cmdshell 系统命令操作 xplog70.dll 2 xp_regaddmultistring 注册表操作 xpstar.dll 3 xp_regdeletekey 注册表操作 xpstar.dll 角色和新添加的角色; 补充中……….. – 作者: archerfoot 2005年09月19日, 星期一 17:06 回复(0) | 引用(0) 加入博采 SQL Server2000安全设置内容 删除下列存储过程和文件: 编号 存储过程名 存储过程类型 对应文件名 1 xp_cmdshell 系统命令操作 xplog70.dll 2 xp_regaddmultistring 注册表操作 xpstar.dll 3
99440发布于 2021-04-28 - 来自专栏sonarqube
Fortify软件安全内容 2023 更新 2
如今,Fortify 软件安全内容支持 31+ 种语言的 1,552 个漏洞类别,涵盖超过 100 万个单独的 API。 StorageAWS Terraform 配置错误:不安全的开放搜索服务传输AWS Terraform 配置错误:不安全的 RDS 传输AWS Terraform 配置错误:不安全的 S3 存储 客户还可以期望看到与以下内容相关的报告结果的变化:命令注入:已添加由 ID 11722 和 11723 标识的检查,以使用支持带外应用程序安全测试 (OAST) 功能的有效负载[3].它们减少了误报,提高了 Fortify优质内容研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。 OWASP MASVS v2.0.0为了配合新的相关性,此版本还包含支持 OWASP MASVS v2.0.0 的 Fortify 软件安全中心的新报告包,可从 Fortify 客户支持门户的“高级内容
32900编辑于 2025-08-01 - 来自专栏DevOps运维
3、给输出内容加颜色
一、相关知识 给内容加不同的颜色, 可以结合echo -e的参数,内容的颜色用数字表示,范围为30-37,每个数字代表一种颜色。 二、案例: 开发一个给指定内容加质地更颜色的脚本 使用case语句,通过脚本传入指定内容和指定颜色,根据指定颜色输出指定内容 cat /server/scripts/color.sh #!
1.8K20发布于 2021-11-16 - 来自专栏用户8925857的专栏
改变世界的3页内容
1将这一定义应用于J-STD-001H的第8章(也就是题目中提及的“3页纸”),我们可以了解为了符合新的要求都需要做些什么。 数十年以来,很多制造商都没有思考过这部分内容。合同制造商只是一味制造产品,某些情况下,他们的产品清洁度并不足以满足产品预期的终端使用环境要求。 通常这种缺陷体现为图3所示的组件出现与漏电有关的失效,这个组件已通过了ROSE测试。 第3条注释是说在高温和湿度条件下,使用正常的操作电源对带电产品进行电气测试。在我看来,这是确定离子清洁度对现场操作影响的最重要测试。 WP-019B用28页篇幅来解释J-STD-001H中的3页内容,有力说明了清洁度的重要性。
1.4K40编辑于 2022-09-30 - 来自专栏用户8739990的专栏
安全管理的主要内容 安全管理有什么好处
那么这时候就需要对电脑进行安全管理,来保证自己的生活和工作不被影响。那么主要内容是什么呢? image.png 一、安全管理的主要内容 安全管理不仅包括下载的软件,还包括硬件上的,电脑想要一直安全放心的使用,就必不可缺少进行安全管理。对于企业的电脑来说,安全管理可以保护企业的内部信息。 完善电脑的安全防护系统,让电脑的使用环境更加安全,对电脑软件进行有效的网络管理,能够很快的处理把信息收集起来,精确而快速的解决出现的安全问题。 抓住安全管理的主要内容,正确的对待这个问题,提高网络和系统的安全性,让电脑使用起来具有很好的体验。 安全管理对于电脑来说是一件非常重要的事情,正确的进行安全管理,打造一个健康、和谐的网络环境。 理解清楚安全管理的主要内容跟相关的信息,选对安全管理,对于用电脑的人来说是非常重要的,可以详细的了解一下。
3K20发布于 2021-07-09 - 来自专栏python3
Nginx演练(3)配置内容压缩
客户端请求的资源内容有多种,jpg,css,js,html等。不同文件类型,对应不同MIME_TYPE。每个文件都要通过网络传输到客户端,才能被浏览器渲染,进而展现给用户。 Size/Content: Size是响应头部和响应体结合起来的大小, Content是请求内容解码后的大小。 3.理解压缩级别 gzip_comp_level server { # 监听的IP和端口 listen 192.168.163.146:80; server_name
45210发布于 2020-01-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号