- 综合排序
- 最热优先
- 最新优先
- 来自专栏ThoughtWorks
8大前端安全问题(下)| 洞见
在《8大前端安全问题(上)》这篇文章里我们谈到了什么是前端安全问题,并且介绍了其中的4大典型安全问题,本篇文章将介绍剩下的4大前端安全问题,它们分别是: 防火防盗防猪队友:不安全的第三方依赖包 用了HTTPS 也可能掉坑里 本地存储数据泄露 缺乏静态资源完整性校验 ---- 防火防盗防猪队友:不安全的第三方依赖包 现如今进行应用开发,就好比站在巨人的肩膀上写代码。 前端应用是完全暴露在用户以及攻击者面前的,在前端存储任何敏感、机密的数据,都会面临泄露的风险,就算是在前端通过JS脚本对数据进行加密基本也无济于事。 ---- 小结 在上一篇和本篇文章中,我们为大家介绍了在开发前端应用的时候容易遇到的8大安全问题,它们是: 老生常谈的XSS 警惕iframe带来的风险 别被点击劫持了 错误的内容推断 防火防盗防猪队友 :不安全的第三方依赖包 用了HTTPS也可能掉坑里 本地存储数据泄露 缺乏静态资源完整性校验 我们希望能通过对这些问题的介绍,引起前端开发小伙伴的注意,尽可能提前绕过这些安全问题的坑。
1.1K80发布于 2018-04-17 - 来自专栏ThoughtWorks
8大前端安全问题(上) | 洞见
8大前端安全问题 按照上面的分类办法,我们总结出了8大典型的前端安全问题,它们分别是: 老生常谈的XSS 警惕iframe带来的风险 别被点击劫持了 错误的内容推断 防火防盗防猪队友:不安全的第三方依赖包 用了HTTPS也可能掉坑里 本地存储数据泄露 缺失静态资源完整性校验 由于篇幅所限,本篇文章先给各位介绍前4个前端安全问题。 XSS这类安全问题发生的本质原因在于,浏览器错误的将攻击者提供的用户输入数据当做JavaScript脚本给执行了。 如何防御 防御XSS最佳的做法就是对数据进行严格的输出编码,使得攻击者提供的数据不再被浏览器认为是脚本而被误执行。 、恶意勒索软件等等,这问题可就大了。
1.2K50发布于 2018-04-17 - 来自专栏云原生技术社区
10大K8s应用安全加固技术
作者:Rory McCune 将应用部署到K8s集群时,开发者面临的主要挑战是如何管理安全风险。快速解决此问题的一个好方法是在开发过程中对应用清单进行安全加固。 seccomp过滤器可以在两个地方重新启用,这取决于你所使用的K8s版本。在1.18及以下版本中,与AppArmor一样,通过清单元数据部分的注释来完成。 相反,它是通过清单元数据中的自定义注解来完成的(在K8s的未来版本中有一个更改此行为的提案)。 指定的配置文件必须提前放在集群节点上,然后在下面的例子中代替指定。 总结 创建一个安全的K8s环境有很多方面,从控制平面到集群上运行的应用程序。 主动加固用于部署工作负载的K8s清单是这一过程的重要组成部分,如果在开发生命周期的早期完成,可以显著提高安全性并降低漏洞风险。
99050编辑于 2022-08-12 - 来自专栏腾讯安全
腾讯安全发布《2020年公有云安全报告》,重点剖析8大主流安全风险
摄图网_500948826_云存储数据(企业商用).jpg 腾讯安全威胁情报中心对过去一年由腾讯云租户提交的各类网络安全事件工单进行统计分析,整理发布了《2020年公有云安全报告》(以下简称《报告》), 云上勒索病毒需重点防范,主要表现数据库锁库勒索和勒索病毒加密 在数以亿计的云上攻击事件中,勒索病毒攻击的案例相对较少,但因一旦发生,若没有可靠的数据恢复方案时,会造成无可挽回的后果,须特别提醒企业安全运维人员注意 腾讯安全专家建议业务上云的政企机构采用腾讯云数据安全服务,定期备份重要数据,及时创建数据镜像,防止因意外丢失和云上勒索攻击而给企业造成重大损失。 7.png 腾讯主机安全(云镜)专业版或腾讯云防火墙可以第一时间拦截入侵者针对公有云主机的攻击活动,并对攻击数据包存档记录。 安全建议:部署云原生安全防护体系,全面应对企业上云的新挑战 面对快速增长的云上安全需求,腾讯安全依托20余年安全领域积累,围绕安全治理、数据安全、应用安全、计算安全和网络安全五个层面打造了云原生安全防护体系
1.7K10发布于 2021-02-07 - 来自专栏安智客
Google年度安全报告--8大潜在的恶意程序
最新Google年度安全报告中提到:2017年,从Google Play下载到有害应用程序的可能性比小行星撞击地球的可能性还要低。 安智客在空余时间将报告进行了全文翻译,即将给大家分享中文翻译版! 今天我们首先看一看Google安全报告中所列的8大PHA(有害应用程序)。 ? Chamois Chamois是Android中迄今为止最大的PHA种类之一,并通过多种渠道分发。 这些文件然后解密并通过类反射加载,以读取和发送电话呼叫记录和其他数据到远程位置。 这些应用程序禁用Wi-Fi以强制流量通过用户的移动数据连接,然后联系命令和控制服务器动态获取试图绕过网络WAP服务订购验证步骤的代码。 这种类型的PHA通过WAP计费(通过移动数据连接起作用的支付方式)将他们的滥用货币化,并允许用户使用其现有账户轻松注册并支付新服务(即,服务由运营商直接支付,而不是服务提供商;用户不需要新的账户或不同的支付形式
1.8K80发布于 2018-03-30 - 来自专栏云计算D1net
大数据时代 云安全4大策略
当在大数据使用案例中提及云安全策略时,我们希望任何安全解决方案都能够在不影响部署安全性的情况下提供与云一样的灵活性。 4、对数据安全永不妥协 虽然云安全通常十分复杂,但是用户在大数据部署当中还是会发现一些“安全捷径”。这些“安全捷径”通常貌似能够回避一些复杂设置,同时保持大数据结构“不受伤害”。 并不是所有的大数据基础设施是安全的,如果处于风险当中的数据非常敏感或是属于管制数据,那么用户可能需要寻找替代方案。 多备份在给用户备份数据时自动把数据压缩加密并传到多个云端平台,采用3层加密安全保护体系使得数据安全达到最高。 总结 只有为数据建立了最为严格的安全标准,大数据才能够不断地享受着由云计算提供的可扩展性、灵活性和自动化。加密被认为是保护云(大)数据的首要步骤。
1.3K70发布于 2018-03-21 - 来自专栏华章科技
详解数据资产的8大重要特征
▲图2-12 数据资产运营闭环 以标签为组织载体的数据资产区别于传统的数据资源,具有8个显著而独特的重要特征,如图2-13所示。 ? ▲图2-13 数据资产8大特征 01 能确权 所有的数据资产都应该是由某企业或机构合法取得或有效管理的数据源清洗加工而来,否则不能称为资产。 因此企业或机构必须重视自身数据资产来源的合法性并合规使用,将确权工作与数据安全工作联动开展。 可计量的特性有利于标签的优化和运营,帮助控制标签的安全使用,评估标签的业务使用价值。 06 有定价 数据资产一定有价值,其价值如何衡量?数据要素如何参与价值分配? 07 可管控 数据资产必须是可管控的,否则会有巨大的安全风险和管理成本。
3.7K30发布于 2021-07-12 - 来自专栏IT知识进阶学习
JAVA自学-8大基础数据类型详解
本篇文章中,我们也将依据此思想,去更加深入地认识JAVA中最基础的八大数据类型,看看它们在JAVA世界中都存在哪些用途。 非常大的整数 -2^63^ ~ 2^63^-1 浮点型 float 4 普通实数 -3.402 823*10^38^ ~ 3.402 823*10^38^ 双精度 double 8 非常大的实数 -1.7977 当我们将低精度的数据类型赋值给高精度的数据类型时,系统会自动完成数据类型的转换(类比思想:将小容量的物体存放到大容量的容器中,当然是没有问题的),如: 但如果需要将高精度的类型转换成低精度的类型, 那么就会出现精度的丢失,所以必须显示指定类型转换,格式如下:(需要转换的类型)要转换的值 小结 ---- 本篇文章通过类比的方式介绍了JAVA中自带的8大基础数据类型的特点和使用场景,这8大基础类型将伴随着我们整个编程生涯 下一篇我们将介绍如何通过这8大基础数据类型进行相应的算术运算,设计实现一个简单的计算器案例。
1.1K30编辑于 2022-09-13 - 来自专栏FreeBuf
2017年全球8大网络安全威胁趋势预测
2016年,Yahoo以10亿数据泄露的代价成为史上最佳数据泄露的互联网企业,每年数据泄露的数量都在大幅度上升。值得庆幸的是《中国国家网络安全法》已经发布,该法案将在2017年6月份开始执行。 该法案对于企业和政府安全基础建设有着极大的推动力。或许在执行该法案后,中国地区数据盗窃量会有所下降。 3. 针对这个类型的攻击,除了用户和员工的安全意识培养以外,还需要在相关的安全基础建设外下功夫,比如病毒防火墙,云查杀,沙箱查杀等。 近几个月,数据勒索事件也开始增加。 2017年,密码枚举可以算作十大网络安全问题之一。为了解决这个问题,IDaaS(身份即服务)诞生了,非常可惜的是,洋葱IDaaS在前不久因为资金问题,宣布解散。 因此,2017年,内部威胁将是安全市场的一大挑战。 8. 安全人才缺口巨大 2016年,中国网络安全人才缺口在50万左右,预计到2020年这个数字会增长到140万。
1K60发布于 2018-02-23 - 来自专栏腾讯安全
腾讯安全月度十大要闻 | 2019年8月
- 腾讯安全8月文章精选 - 中标!腾讯多项产品被中央国家机关pick 重磅! 腾讯安全十一大议题入选全球黑客顶级盛会 世界人工智能大会上,腾讯安全喜提“产业安全创新实践”大奖 腾讯安全牵手小米,共同守护米粉的安全 治理诈骗源头,腾讯安全做了这些事 重磅:2019上半年云安全趋势报告发布
51130发布于 2019-09-16 - 来自专栏大数据和云计算技术
政务大数据系列8:政务大数据的安全体系
对于政务大数据实施建设过程中,需要遵循的安全保护相关法律法规以及技术标准也进行了较详尽的梳理。大数据的本质是“数据”,政务大数据的本质是“政务”。因此,政务大数据的安全本质上就是政务数据的安全。 政务大数据的所有者和使用者应履行客体安全义务,严格按照相关法律法规、安全管理规范、安全作业流程来进行数据使用、操作,与政务大数据的安全主体紧密配合,共同建立健全政务大数据的安全防护、保障体系。 主客体防护、全周期监管、九大安全要素和安全融合共同构成了多维的政务大数据安全体系。 其中,九大安全要素是实现主客体安全、全生命周期安全以及安全融合机制的关键。 因此,本文重点围绕政务大数据本身的九大安全要素(认证、鉴权、传输、交换、存储、管理、媒介、运行和审计)来研讨其安全体系。 交换安全:政务大数据的价值体现有赖于其共享、融合与交换。因此,交换安全也是其价值体现的重要环节。政务大数据的交换安全主要包括跨域认证、数据提供方/请求方对所交换数据的管控以及交换行为及过程的安全审计。
1.6K100发布于 2018-03-30 - 来自专栏腾讯安全
安全大咖连麦解读银行信息数据安全难题
银行业这一国民经济命脉,迫切需要在确保业务稳健的同时,通过信息安全产业的助力,实现万无一失的数据安全。 同时,腾讯安全战略研究中心将联合以上四家安全领域领导企业,基于对银行业安全状况的研判,携手发布《银行业数据安全白皮书》,以银行业数据安全现状、存在的问题以及未来趋势为主线,配合各个公司方案,力求尽量全面的论述银行业网络安全 数据潮来临,银行业面临的安全风险有哪些? 网上银行业务的兴起和发展,对网络安全和信息安全突出了更高要求,确保网络安全是防范系统性金融风险必须考虑的因素,直接关系到国家安全和社会稳定。 各类经营数据、开发数据以及客户资料均存储在一起,极易发生安全管理不合规的情况。目前银行不同程度地走向混业经营的方向,其跨市场、跨区域、跨国别的风险仍缺乏应有的风控体系和监管约束。 同时,黑客的攻击面也正在扩大并“跨界”,逐渐从危害信息安全发展到危害金融安全、甚至人身安全。 银行如何安全地保管自身及客户敏感数据信息? 如何有效避免违规、非法使用数据和信息泄露的风险?
67610发布于 2020-05-13 - 来自专栏大数据文摘
大数据,看贵州! 贵州大数据产业发展8大看点
2013年下半年,中国电信、联通、移动纷至沓来,三大电信运营商数据中心在贵州开工建设、中关村贵阳科技园成立、富士康第四代产业园落户……这一系列大手笔,正助推贵州迈上“云端”,成为发展大数据产业的黄金宝地 贵州地质结构稳定,地震、台风等灾害罕见,信息网络设备的安全系数高;水电资源丰富;贵安新区、贵阳综合保税新区的设立,使金融,政策等要素日益完善,为贵州大数据产业发展奠定了坚实基础。 贵州大数据产业发展8大看点 看点一:三大运营商南方数据中心落户贵安新区 2013年10月21日开工建设的中国电信云计算中心总占地500亩,总投资70亿元,一期建成后服务器容量为100万台,2014年底起可陆续投入商用 看点四:大数据为媒,中关村联姻贵阳 2013年9月8日“中关村贵阳科技园”揭牌,为贵阳市发展新一代信息技术产业提供重要支撑,也为大数据产业的发展提供强大支撑。 看点五:贵州省打造千万服务器的大数据集群 三大运营商的数据中心在贵安新区相继建成后,将使贵阳周边特定区域快速集聚20万—30万的机架、百万台的服务器,数据存储规模可达EB以上,随着大数据产业持续发酵,将形成一个千万服务器集群的数据中心基地
1.8K100发布于 2018-05-22 - 来自专栏张俊红
数据分析师8大经典问题
做数据的同学们,你们在工作中被刁难过吗?有哪些问题是经常遇到,又让人恨得咬牙切齿的呢?从之前同学们吐槽的话题里,我精选了8个高频问题,今天一起来看一下。注意! 应该多转发一些大数据/数据仓库/数据治理/数据分析的书单、技能树一类,让他们直观体验下“卧槽,这个东西这么复杂呀!” 问题2:“我们的数据可大了,都在那里了,你为啥分析不出来?” 这个问题和上个问题是同胞姐妹,本质都是领导不懂数据,以为有几个数字就是“大数据”了。 如果再加上“没有数据团队”,或者“你自己孤悬于数据团队以外”这一条,请谨慎入职,你会被PUA到怀疑人生的。 问题3:“数据不是数据分析的事吗,为啥要我参与?” 注意,这一句是疑问句,不是反问句。 问题8:“你怎么证明,你做的分析和公司业绩提升有关系!” 这个问题一般在考核绩效的时候才冒出来。听到问题的时候,都会让人恨得咬牙切齿,好想骂一句:“当初求数像条狗,看完数据嫌人丑!”
59860编辑于 2023-03-21 - 来自专栏腾讯安全
腾讯安全联合发布《政务大数据安全指南》,六大建设满足四大安全刚需
紧贴四大刚需 政务大数据平台建设亟需“从内抓起” 《指南》指出,大数据时代下的政务数据使用具有场景复杂、数据用户多、数据量大、暴露面大等显著特点,传统的单品方式难以应对,这就迫使政务数据建设发展应该遵循以下四大数据安全需求 遵循五大原则 “技术+管理”强化源头管控 如何平衡公共利益与公民个人信息保护;如何探索大数据时代下社会治理安全与效率,确保公民个人信息安全。 发力六大领域 构建完整的数据安全防御体系 政务数据安全能力的建设是核心,同样也是基础。但如何构建完备的安全防御体系,是所有政务及公共数据持有部门目前面临的首要问题。 组织建设:数据安全组织是数据安全体系建设的前提条件,通过建立专门的数据安全组织,落实数 据安全管理责任,明确数据安全治理的政策、监督执行情况,确保数据安全相关工作能够持续稳定贯彻与执行; 制度规范:参考 因此,需要建设一套合规的密钥体系,并通过合理的运用达到数据保护的效果; 数据安全能力建设:数据安全能力包括数据定级、数据脱敏、数据加解密、数据安全审计、数据安全态势感知五个方面的能力,通过能力建设和合理的使用
2.6K6968发布于 2020-09-10 - 来自专栏智瑾财经
大咖论安全 隐私计算护航数据安全需同时关注科技伦理
2021年,金融数据安全相关新法律法规相继出台,而当前数字金融发展最重要的资产之一是数据,金融机构数字化转型也需要挖掘数据价值,如何在安全合规的尺度内实现创新稳健发展,行业如何应对? 同盾科技合伙人、副总裁陈文 与会嘉宾提出,新法出台后金融数据合规应用或面临三大挑战,但不可误读法律,新法的要求是保护与利用并重。 对于如何保证数据安全流通、合规使用,陈文认为,数据孤岛的现象与数据使用的需求是存在矛盾的。数据价值挖掘需求的确存在,那么业界要思考用何种合法合规的条件或者技术手段把数据利用起来。 据陈文介绍,今年被市场认为是隐私计算的元年,隐私计算能够保证满足数据隐私安全的基础上,实现数据价值和知识的流动与共享,实现“数据可用不可见”“数据不动模型动”。 “同盾近期也基于知识联邦技术给国内一家电网企业,在数据安全治理应用层面做了较好的提升。
1.6K30编辑于 2021-12-08 - 来自专栏数据库
数据库10 大常见安全问题盘点
网络罪犯开始从入侵在线业务服务器和破坏数据库中大量获利,因此,确保数据库的安全成为越来越重要的命题。 想要建立一个在线业务,最重要的就是建立一个全面的数据库,与此同时,保护你共享在网络中的数据安全也是至关重要的。 尽管意识到数据库安全的重要性,但开发者在开发、集成应用程序或修补漏洞、更新数据库的时候还是会犯一些错误,让黑客们有机可乘。下面就列出了数据库系统 10 大最常见的安全问题: ★ 1. 通过利用在微软 SQL Server 数据库中发现的漏洞进行传播,导致全球范围内的互联网瘫痪。这种蠕虫的成功充分说明了保护数据库安全的重要性。 ★ 8.SQL 注入 对于保护数据库而言,这是一个重要的问题。一旦应用程序被注入恶意的字符串来欺骗服务器执行命令,那么管理员不得不收拾残局。目前最佳的解决方案就是使用防火墙来保护数据库网络。
1.4K80发布于 2018-01-26 - 来自专栏亨利笔记
联邦大模型:打造安全合规的数据生态
大模型是具有数十亿甚至上百亿参数的深度神经网络模型,是“大数据+大算力+强算法”结合的产物,是凝聚了大数据内在精华的“知识库”。 龙卷风中心:数据安全与隐私保护不可忽视 在大模型的龙卷风席卷全球之时,这场风暴的中心也有一些冷静的声音:基于海量数据的大模型更应该在安全合规与伦理等方面保持谨慎。 如果这些信息在训练或应用过程中被泄露,会对用户造成严重的隐私损失和安全风险。 安全漏洞风险 大模型通常需要在云服务器上运行,因此有安全攻击风险。 联邦学习与大模型结合:构建安全合规的数据生态大陆 联邦学习作为一种分布式机器学习新范式,其“数据不动模型动,数据可用不可见”的特点使得各参与方可以在保护各自数据安全与用户隐私的前提下,进行AI协作,打破数据孤岛 联邦学习自身的特性将使得其与大模型的结合能够进一步解决数据安全、隐私保护等问题。
1.3K10编辑于 2023-04-12 5大YashanDB数据库安全加固策略解析
YashanDB是一种高性能的分布式数据库,安全加固是确保数据库系统安全性和稳健性的关键环节。以下是五大YashanDB数据库安全加固策略的解析:1. - 传输加密:在数据传输过程中使用TLS/SSL等加密协议,保护数据在网络传输中的安全,防止中间人攻击。3. 定期备份与恢复- 数据备份策略:实施定期自动备份并确保备份数据的安全存储。 安全审计与监控- 审计日志:启用数据库审核功能,记录所有重要操作(如登录、数据修改、权限变更等)并保存审计日志,便于后续分析。 定期安全更新和补丁管理- 版本管理:定期检查YashanDB及其依赖组件的版本,确保使用最新的安全补丁,以修补已知的安全漏洞。 - 自动更新机制:尽可能启用自动更新功能,确保系统及时获取重要的安全补丁和更新,降低被攻击风险。总结以上策略可以为YashanDB提供多层次的安全防护,保护数据的机密性、完整性和可用性。
19910编辑于 2025-11-14- 来自专栏腾讯安全
腾讯安全发布《银行业数据安全白皮书》 指明数据安全四大要素 腾讯安全联合实验室
然而数字化浪潮下,业务边界的不断扩大也导致了银行业网络安全问题频发,如何应对外部的网络攻击、内部因安全意识缺失以及管理漏洞带来的安全风险,成为银行业发展道路上的一大挑战。 同时,由于行业中数据安全体系普遍较为薄弱,近年来数据库漏洞、内部员工泄露用户资料等数据安全事件频发,让数据安全体系建设成为银行业继续解决的一大迫切需求。 随着国家对于数据安全的重视程度逐渐增强,《数据安全法》《个人信息保护法》《网络安全等级保护制度2.0标准》等各级层面数据安全相关的法律法规以及行业标准也相继出台。 针对上述安全问题,《白皮书》中基于银行业的基础需求和行业特性,提出了银行业数据安全体系建设的四大核心要素:交易安全、安全合规、网络安全技术、数据全生命周期。 不合理的安全策略设置、数据安全防控工具的缺失等因素都会提升数据安全的管控与防护难度。
5.4K422发布于 2020-05-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号