- 综合排序
- 最热优先
- 最新优先
- 来自专栏我的安全视界观
【基础安全】堡垒机的自动化功能实践2
2)服务器信息检查 用户填入合法的ip或者hostname时,后台基于cmdb中的数据,对ip或者hostname做强制性合法检查。 2)创建规则标准化 在调用API创建规则时,按照统一的标准创建规则id,轻松实现整个链路的跟踪。 03 — 简化审核 管理员在内、外网的情况下,通过邮件进行工单处理,简化审核工作。 ? 1)内网处理工单 当用户提交申请后,管理员将收到一封邮件(管理员也可以登录系统从web页面进行人工审核),邮件中包含一个链接(需添加安全检查,例加密链接),此时只需点击此链接,即可完成审核。 2)外网处理工单 由于该平台在设计为仅对内网开放,如果管理员下班或者无法连接到公司内网时,我们希望管理员也可以只通过邮件,就可以完成审核。 可以解决的实际业务场景包括: 1)统计某位员工历史申请资源情况与开通权限; 2)计算审核人员工作量,评估安全运维岗位工作强度; 3)审核人员疏忽或申请信息错误等特殊情况,撤回已授权… 下一章节,将介绍实现过程中的架构选型与设计方案
1.1K20发布于 2019-03-06 - 来自专栏AI
安全最佳实践
使用我们的免费 Moderation APIOpenAI 的 Moderation API 是免费使用的,可以帮助减少您完成中不安全内容的频率。 通过经过验证的下拉字段允许用户输入(例如,维基百科上的电影列表)可能比允许开放式文本输入更安全。 在可能的情况下,从后端返回经过验证的一组材料的输出可能比返回新生成的内容更安全(例如,将客户查询路由到最匹配的现有客户支持文章,而不是尝试从头回答查询)。 安全性和保障对我们在 OpenAI 的重要性不言而喻。如果在开发过程中您注意到 API 或与 OpenAI 相关的任何其他内容存在任何安全问题或安全问题,请通过我们的协调漏洞披露计划提交这些问题。
51610编辑于 2024-05-12 - 来自专栏FreeBuf
Powershell最佳安全实践
在这篇文章中,我们将跟大家讨论PowerShell的最佳实践方式,而本文的内容将能够帮助你对抗那些使用PowerShell来攻击你的人。 PowerShell是什么? PowerShell安全最佳实践 考虑到某些组织因为需求关系不能禁用或删除PowerShell,下面给出的几条安全实践建议可以帮助你在享受PowerShell的高效性时免受网络威胁的困扰。 移除PowerShell V.2 由于微软给最新版本PowerShell整合的安全增强功能并不适用于PowerShell v.2,因此v.2版本的PowerShell将有可能被用于攻击者的横向渗透或持久化攻击之中 ,但“记录PowerShell活动”那部分的安全实践建议可以检测其中的绝大部分绕过行为。 .2。
2.6K100发布于 2018-02-27 - 来自专栏安全乐观主义
GitHub安全最佳实践
写在前面 GitHub安全最佳实践列表 1.不要将凭证作为代码/配置存储在GitHub中。 2.删除文件中的敏感数据和GitHub历史记录 3.限制访问控制 4.增加SECURITY.md文件 5.严格验证GitHub上的第三方应用 6.在PR阶段添加安全性测试 7.选择合适的GitHub来满足安全需求 本文,以安全维度系统介绍了维护仓库安全应该要做的事,可以作为安全组织对标的cheat sheet。 GitHub 安全最佳实践列表 1. 同样,添加一个突出显示项目安全相关信息的 SECURITY.md 文件也变得越来越普遍。它不仅为用户提供了他们需要的重要安全信息,而且还迫使维护人员考虑如何处理安全披露、更新和一般的安全实践。 不那么安全的认证措施包括:依赖一个私有加密算法来授权输入,或者暴露如何选择的随机种子。即使对于一个私有的源代码项目,用开源的思想来选择随机数也是一个很好的实践。
1.4K10发布于 2019-11-20 - 来自专栏木子墨的前端日常
Nginx实践--安全升级
此外,除了安全性方面,使用内网ip进行接口转发也省去了转发中的DNS重新解析的过程,有利于大幅提升接口转发效率。 综上,在proxy_pass转发中我们使用了两种方案来对安全性做一些提升 proxy_pass转发到外网域名,同时在接口服务器上添加访问来源白名单,把nginx服务器的ip写进去 proxy_pass转发到内网域名 这样在安全和效率高上就都能得到一定的提升。 如有错误,欢迎大家指正 好好学习,天天向上~~
1.2K30发布于 2018-12-18 - 来自专栏渗透云笔记
代码审计安全实践
第一次写文章,希望大牛们轻喷 一、代码审计安全 代码编写安全: 程序的两大根本:变量与函数 漏洞形成的条件:可以控制的变量“一切输入都是有害的 ” 变量到达有利用价值的函数(危险函数)“一切进入函数的变量是有害的 通读全部代码 四、安全编程规范: 1.SQL注入防护 (1)采用预编译,在Java Web开发一般在采用预处理,在sql语句中放入? (2)过滤函数和类, 使用pdo的prepare方式来处理sql查询,但是当PHP版本<5.3.6之前还是存在宽字节SQL注人漏洞,原因在于这样的查询方式是使用了PHP本地模拟prepare,再把完整的 注人 (3) GPC/RUTIME魔术引号 通常数据污染有两种方式: 1、是应用被动接收参数,类似于GET、POST等; 2、 2. 反引号命令执行 反引号(`)也可以执行命令,它的写法很简单,实际上反引号(`)执行命令是调用的shell_exec()函数。 ?
2.1K30发布于 2019-11-11 - 来自专栏FreeBuf
企业FRP安全实践
看到的第一反应是无论此事真假,但如果发生在我司,安全部有没有能力去发现? 综上总结: 程序运行时有127.0.0.1:22的监听和网络连接 会有一定特征进程启动 未编译版本可通过指纹(md5)匹配 2、检测 “君子生非异也,善假于物也”,故这里借助多种产品来协助安全检测。 where datatime > "now-2h" where pname like "frp" ? 请求建立连接数据包、建立连接后的心跳数据包(最近读安全客有感,可参照引用和致谢[2]) 5.2 NetFliter检测流量转发 NetFilter可以针对Linux包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪 也欢迎各位安全同僚拍砖、交流和技术分享!
2.1K20发布于 2021-01-12 - 来自专栏API技术
API 安全最佳实践
然而,API 的开放性也带来了潜在的安全挑战。因此,确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。 在本篇文章中,我们将深入研究 API 的安全性,并通过使用 C# 的实际示例探索一些基本机制。API安全简介API 安全是为了防范未经授权的访问、数据泄露以及其他潜在风险而采取的一系列实践和技术。 (TLS) 或安全套接字层 (SSL) 加密可确保客户端和 API 服务器之间的安全通信。 app.UseSerilogRequestLogging(); // More middleware and configurations }}结论除了上述流程,API 安全最佳实践还应关注以下四点 通过整合这些最佳实践,开发人员可以构建强大且安全的 API,从而为更安全的数字生态系统做出贡献。原文链接:Best Practices of API Security.
1.8K10编辑于 2023-12-20 - 来自专栏Linyb极客之路
HTTPS安全最佳实践
2. 检查HTTPS配置 HTTPS是没有二进制状态,因此仅将其激活还是不够的,有许多配置选项会影响加密本身的各个方面。 幸运的是,有些网站会测试你的配置并提供如何解决某些问题的建议。 检查HTTP标头 有几个HTTP标头header可以控制具有安全隐患的方面,虽然并非所有这些标头都与HTTPS相关。 这个网站(https://securityheaders.com/)能帮助检查安全头,它提供了一些很重要标头的说明。 4. (2)使用安全的cookie 任何未标记为安全的 cookie 都可以通过HTTP和HTTPS发送,反过来,攻击者可以使用它来模仿HTTPS站点上的用户。 确保使用安全的cookie。 6. 要获取列表,你需要发送HSTS标头: 1.在根域,比如jdon.com 而不是www.jdon.com 2.最大年龄至少为一年 3.使用includeSubDomains 4.使用preload预加载
2.3K30发布于 2018-09-27 - 来自专栏云安全社区
云原生安全实践
文章首发于:火线Zone云安全社区 作者:Clare Clare是安全架构师,专注于信息安全攻防研究和深度测试,今天分享的主题是“云原生安全实践”。 我讲的议题是,云原生安全实践,主要从两个方面来介绍云原生安全。 第一个是云原生安全面临的风险 第二个是云原生安全实践 云原生的定义:它是一种构建和运行应用程序的现代方法,它主要代表的是容器,微服务,持续集成交付和devops为代表的一个技术体系。 所以相对于传统安全,云原生安全仍然是真正的挑战。 云原生安全,它是一种保护云原生平台及基础设施和整个应用程序安全实践,包括自动化数据分析,威胁检测,确保应用整个安全性及纵深防御。 平台的安全管控,和其他相关联的安全隐患,都会对云平台导致很大的风险。 接下来第二个,就是云原生安全实践,主要讲述在云原生整个过程中,如何应对遇到的风险。
1.2K31编辑于 2022-03-17 - 来自专栏ZC.TigerRoot
HTTPS 安全最佳实践(二)之安全加固
HTTPS 安全最佳实践(二)之安全加固 当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。 本篇正文讲述的是 HTTP 安全的最佳实践,着重在于 HTTPS 网站的 Header 的相关配置。 它提供了 include subdomains 选项,这在实践中可能是太宽泛了。 X-Frame-Options 是一个非标准的 header,在内容安全策略级别 2 中被 frame ancestor 指令所取代。 Set-Cookie: Key=Value; path=/; secure; HttpOnly, Key2=Value2; secure; HttpOnly
3.1K10发布于 2020-04-30 - 来自专栏云鼎实验室的专栏
安全验证 | 容器安全的验证度量实践
本文将结合腾讯云在容器安全的运营实践,分析介绍如何通过安全验证度量,从攻击者视角持续发现防御的弱点,提升防御水平,实现云原生架构下的高质量安全运营。 在度量指标的设计上,主要参考以下几个维度的内容进行设计:(1)ATT&CK攻防矩阵框架;(2)腾讯蓝军实践经验以及安全研究成果;(3)腾讯容器安全相关产品能力;(4)腾讯容器安全运营实践;(5)标准、技术要求等行业规范 这些实践经验,一方面会对矩阵的技战法做有效的补充,同时可以从实践的维度,对各个指标从可利用难易度的角度,进行更真实的风险等级划分,使得验证指标有着更好的完整度和可运营、可执行性。 (2)数千万核规模的容器集群安全运营经验,同样是我们度量指标设计的一个重要参考。在运营过程中,我们逐步积累了各种风险出现的频率、积累了各种安全事件的攻击手法。 验证指标示例 容器安全验证实践 云原生安全测试平台 2022年6月召开的云原生产业大会上,由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。
1.1K10编辑于 2024-05-07 - 来自专栏API安全
案例实践 | 某能源企业API安全实践
、业务安全和数据安全防护战线不断延伸,给安全防护带来新压力,增加了“一点突破,影响全网”的风险。 在本年度国家组织的专项检查中发现,部分电厂生产监控网络和互联网相连,极大增加了系统安全风险。国家、行业主管部门一直以来高度重视网络与信息安全工作。 自2014年起,国家网信办、发改委、公安部、国家能源局等主管部门加大对电力信息安全的重点监督管控,相继颁布了《电力监控系统安全防护规定》(2014第14号令)等一系列法令、制度和标准,进一步明确了电网信息安全的重要性 需求场景随着电力系统的逐步在线化和智能化,能源企业的业务系统也面临着对外接口的安全问题,需要制定全面计划并及时发现、测试和保护 API,并将 API 安全纳入其整体应用程序安全策略。 关于星阑星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司
67510编辑于 2023-01-30 - 来自专栏FreeBuf
Java安全编码实践总结
Java作为企业主流开发语言已流行多年,各种java安全编码规范也层出不穷,本文将从实践角度出发,整合工作中遇到过的多种常见安全漏洞,给出不同场景下的安全编码方式。 安全编码实践 Sql注入防范 常见安全编码方法:预编译+输入验证 预编译适用于大多数对数据库进行操作的场景,但预编译并不是万能的,涉及到查询参数里需要使用表名、字段名的场景时(如order by、limit 正确写法(运行超过2秒就中止匹配): ? 漏洞修复验证: ? 不安全的加密模式 需要通过白盒审计发现漏洞,直接黑盒测试比较难。 错误写法:使用ECB模式,相同明文生成相同密文 ? 2.删除生产部署上的 spring-boot-devtoos依赖关系。 总结 作为安全人员经常会被开发问如何修复漏洞,开发需要具体到某行代码如何改动,通过对常见漏洞的复现利用以及安全编码实践,可以加深安全人员对相关漏洞原理的理解,根据业务需要更具体地帮助开发人员写出健壮的代码
2K30发布于 2020-07-15 - 来自专栏Kirito的技术分享
Nacos配置安全最佳实践
配置安全最佳实践 ---- 捋了一遍 Nacos 配置安全的关键点,那么怎么才能保证配置安全呢。 只需要做到如下最佳实践就可以了: 1、定期修改密码和 ak/sk 在使用 Nacos 用户名密码(或者 AK/SK)认证的情况下(比如使用开源 Nacos 认证方式),如果恶意用户拿到了 Nacos 的用户名和密码 2、使用 ECS 角色(推荐用法) 当然,在上面的解决方案中,还是会有 Nacos 用户名密码或者 AK/SK 在配置中的,而且这些信息的也有可能泄漏,泄漏后的修改也需要重新发布才可以。 而对于中大型企业,阿里云产品 MSE 支持更加精细、更加灵活的权限配置、安全管理,也能利用和其他阿里云产品一起做到更加安全的配置能力。 当然,不论是自建 Nacos 还是使用阿里云 MSE,都需要关注上述提到的安全点,防止配置信息泄漏,造成业务损失。最后提到的配置安全最佳实践,也能能保证配置泄漏后,有能力及时修复,做到防患未然。
3.3K20发布于 2021-03-17 - 来自专栏我的安全视界观
【SDL最初实践】安全设计
01 — 安全目标 安全团队可以通过引导相关责任人进行自检,要求输出安全检查结果,并推动落实安全整改项来开展安全活动。在此过程中,需关注以下四个基本要素: ? 安全介入时间:产品设计阶段。 2)减少攻击面 尽量减少暴露给恶意用户可能访问到的程序相关资源,包括但不仅限于端口、接口、服务、协议。 03 — 安全实践 在实际的安全活动中,一般采用安全设计checklist + 威胁建模的模式。 在实践过程中,发现一些比较行之有效的做法: 1)宣贯会上搜集业务方切身需求与体会 通过定期召开“安全评估流程”宣贯,不断搜集来自前端开发、后端开发、产品设计人员等不同参与人员的建议,持续优化现有安全设计 2)从后续安全活动中吸取经验,反哺安全设计检查项 在其后的环节,特别是代码审计和安全测试发现的漏洞与安全缺陷,可以反推到安全设计阶段,不断优化、持续补强针对某一重要系统或某一通用功能的专属安全设计checklist
2.2K11发布于 2019-11-08 - 来自专栏深度学习与python
容器安全最佳实践入门
作者 | Cloudberry 译者 | 王者 策划 | 万佳 保证容器安全是一项复杂的任务。这个问题域很广,面对大量的检查清单和最佳实践,你很难确定采用哪个解决方案。 所以,如果你要实现容器安全策略,应该从哪里开始呢? 我建议从最基本的开始:理解容器安全是什么,并构建模型来降低风险。 2构建时安全性 在构建阶段,我们输入了一堆源文件和一个 Dockerfile,得到了一个 Docker 镜像。 大多数供应商在这个时候向你强调容器镜像扫描的重要性。容器安全扫描的确很重要,但还不够。 在编写 Dockerfile 时遵循 Docker 安全最佳实践。 所有这些检查都是静态的,可以很容易在构建管道中实现。 容器镜像扫描 然后,我们可以进行容器镜像扫描。 4运行时安全性 最后一个是工作负载的安全性。到这个时候,大部分的强化工作都已完成,我们将进入反应性安全控制领域,也就是故障后(post-fail)。
87720发布于 2021-01-20 - 来自专栏FreeBuf
安全扫描调度系统实践
如果把 AWVS 换成其它的安装扫描工具,可否按同样的思路降低工具使用的流程复杂度,让安全工具的使用更自动化遍历,最初构建这个项目时考虑的,这次我们通过 AWVS 这个例子,来实践这种可能性。 2. def auth(self, meta): import urllib2 import ssl import json ssl. Request(url,headers=send_headers2) response = urllib2.urlopen(req,data) 因为我们最开始是考虑用新加的 REST API 作与外部调用者进行通信,在 REST API 做入参检查,并且 REST API 不需求外部调用者调用时,要依赖安全 RPC 客户端。 5.
1.8K10发布于 2019-07-15 - 来自专栏我的安全视界观
【SDL最初实践】安全审核
但在放行不达标产品前,需要将安全风险降低和安全责任抛出,并制定一系列的第二或第三选择安全方案进行兜底,切实起到公司安全投入有产出、安全赋能产品的初衷。 ? 02 — 安全活动 在发布审核阶段,安全活动主要围绕最终安全评审、安全绿色通道开展。 ? 2)安全绿色通道 面对不同情况下的“业务优先”,安全部门需要预留特殊通道为不符合安全要求的产品做好准备。 报备上级领导审批:将上述两点进行详细描述,发送邮件上报业务方领导备案,请求“带病”上线 03 — 安全实践 1)简单的最终安全审核 上线前的安全审核,往往会提前开始于测试阶段进行,到发布上线前的审核工作相对简单很多 2)绿色通道具体流程 在实际的产品研发中,无论是因为产品经理没有预留足够的时间,还是发现漏洞较多或修复成本较大,难以在一定时间内修复,总会碰到申请绿色通道。一般有以下流程: ?
1.4K20发布于 2020-02-20 - 来自专栏我的安全视界观
【SDL最初实践】安全测试
01 安全目标 在我的最初实践中,SDL的发展和很多公司一样:由最开始的安全测试发展而来,一步步将安全前置,并保留系统发布上线前设置的卡点。 1)报告验收 要求业务方将安全设计checklist自检报告、静态代码扫描报告、web漏洞扫描报告纳入安全提测工单中,待安全测试人员进行检查并通过后进行人工安全测试,各项的安全标准可参照: 开发阶段安全活动输出物安全标准设计阶段安全设计自检安全设计 2)人工测试 待各项安全报告均验收通过后,进行人工安全测试。在自动化验收和自动化安全测试之前,该活动往往会成为整个流程中压力最大和最易造成阻塞的点。 然而同样重要的,还有推动安全漏洞修复,再次验证直至修复闭环。 03 安全实践 1)安全提测信息 测试环境一致:确保待测系统与生产环境一样,是保证安全测试质量的基础,但往往却较难实现。 2)安全测试思路 安全测试用例:在实现自动化安全测试前,沉淀一份具有本公司特点、集成团队成员测试技能的安全测试用例,变得十分有必要。
1.8K10发布于 2019-12-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号