- 综合排序
- 最热优先
- 最新优先
- 来自专栏iSharkFly
配置 Confluence 6 安全的最佳实践
请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。 这个页面中的安全配置是基于我们已知情况下的最好配置了。 没有任何安全设置都能够保证 100% 的安全的。这些安全策略被用来降低安全攻击对你系统产生的影响而让你系统能够更好的持续运行。 保持 Confluence 中只有少数用户具有管理员权限。 再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。 https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security
96240发布于 2019-01-30 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
采用 VCS 和 CI/CD 安全最佳实践将有助于保护软件开发和部署中涉及的组件、操作和过程。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 VCS 安全最佳实践包括强制双重身份验证和配置单点登录 (SSO)。自动扫描您的 VCS 组织设置以确保它们符合 VCS 安全最佳实践是在任何设置发生更改时获得持续保护的好方法。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
96730编辑于 2022-12-29 - 来自专栏人工智能机器学习
Tomcat安全加固与防护实践(6个方法)
这次的安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。 虽然Servlet技术中加入了许多特性(包括存取安全性、Session管理和执行绪控制)。 Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全性。以下技术内容参考安全牛课堂《Tomcat安全加固与防护实践》侵删。 安全加固.jpg 在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。 /src/apache-tomcat-6.0.37su - tomcat -c "/usr/local/src/apache-tomcat-6.0.37/bin/catalina.sh start" 6、
3.1K40发布于 2019-07-31 - 来自专栏全栈工程师修炼之路
6.Docker镜像与容器安全最佳实践
不仅如此以 root 用户身份运行容器,还扩大了攻击面,如果容器应用中存在安全漏洞,很容易造成权限提升。 在实践中一般不需要容器拥有 root 权限。 安全实践: 1) 如果基础镜像中不包含专门的用户,那么就在 Dockerfile 中直接创建。 安全实践: 1) 校验 Docker 镜像: Docker 默认直接拉取容器镜像,不会校验镜像的来源和发布者。这意味着你有可能使用来源和发布者不明的任何镜像。 最佳安全实践,我们应该尽可能早地在开发过程中集成安全性,我们越早开始进行安全检查,对组织来说就越便宜,更有效,所以我们要在构建镜像时进行采用辅助扫描工具和安全漏洞库进行集成扫描,例如Snyk、Trivy 安全实践: 1) 优先选用最详细的镜像标签。
4.3K20编辑于 2022-09-28 - 来自专栏安恒信息
邮箱安全服务第6期 | 邮箱自身系统安全的防御部署实践
前面几期我们介绍的是发现邮箱安全问题和分析问题,本期我们介绍一下邮箱系统安全防御及加固手段,可以重点解决邮箱系统通用应用漏洞缺陷防护和邮箱反入侵问题。 为解决邮箱系统代码程序设计安全隐患、邮箱系统0day漏洞、网站运维和管理人员安全意识漏洞以及黑客攻击问题。安恒信息将提供Web应用防火墙产品保护您的邮箱系统安全。 部署Webmail安全防御系统 1 邮箱系统通用安全风险 代码设计安全隐患 由于网站研发人员对WEB安全的认知能力有限或者网站开发时间有限,导致Web服务程序存在SQL注入、跨站脚本、源码泄露等漏洞,黑客利用网站 邮箱系统运维和管理人员安全意识薄弱 绝大多数网站运维和管理人员的安全意识相对薄弱,对于网站的管理后台使用默认的用户名和密码或者使用的简单的密码,黑客可以采用暴力破解的方式获取用户名和密码。 安全防护能力强 3. 故障恢复快,可支持Bypass 反向代理 - 代理模式 ?
1.1K60发布于 2018-04-10 - 来自专栏百科知识
【云安全最佳实践】技术栈系列基础篇6-iptables
Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的iptables“控制”防火墙,就是用户利用iptables将防火墙规则设置给内核的netfilter功能模块,这中间涉及“四表五链”
49920编辑于 2022-09-20 - 来自专栏架构师成长之路
k8s实践(6)--Kubernetes安全:API Server访问控制
Kubernetes安全 安全永远是一个重大的话题,特别是云计算平台,更需要设计出一套完善的安全方案,以应对复杂的场景。 允许赋予管理权限给用户 6. 我们可以同时启动HTTPS安全端口(--secure=6443)来启动安全机制,加强REST API访问的安全性。 所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加了安全性,也不至于太复杂。 .SCn9sq6i4t4fLPW7kuTe3VfoQUO_iXY6M6vKjR40wqPDFJll5-F9n92iY0DqpBAs-vTWeZDmUuevjSJYeRzJlQmMzw5tZj4CIXZ_LHdiiW4kwmAWiproDE-nAXjF4vKHKkWsGLwpeHOQ2F2pCMIibQkk60ZudlJb_qszoTQvt2NgkUmh-DxwEy6uj6pc-j14s
2.9K20编辑于 2022-04-14 - 来自专栏AI
安全最佳实践
使用我们的免费 Moderation APIOpenAI 的 Moderation API 是免费使用的,可以帮助减少您完成中不安全内容的频率。 通过经过验证的下拉字段允许用户输入(例如,维基百科上的电影列表)可能比允许开放式文本输入更安全。 在可能的情况下,从后端返回经过验证的一组材料的输出可能比返回新生成的内容更安全(例如,将客户查询路由到最匹配的现有客户支持文章,而不是尝试从头回答查询)。 安全性和保障对我们在 OpenAI 的重要性不言而喻。如果在开发过程中您注意到 API 或与 OpenAI 相关的任何其他内容存在任何安全问题或安全问题,请通过我们的协调漏洞披露计划提交这些问题。
51610编辑于 2024-05-12 - 来自专栏FreeBuf
Powershell最佳安全实践
在这篇文章中,我们将跟大家讨论PowerShell的最佳实践方式,而本文的内容将能够帮助你对抗那些使用PowerShell来攻击你的人。 PowerShell是什么? PowerShell安全最佳实践 考虑到某些组织因为需求关系不能禁用或删除PowerShell,下面给出的几条安全实践建议可以帮助你在享受PowerShell的高效性时免受网络威胁的困扰。 但是我们haixuya噢考虑到某些攻击者可能会使用恶意文件签名来绕过这种防护机制,因此我们还需要添加额外的安全层以防止这种绕过技术。 6. .2 自定义使用.NET Framework(不涉及到PowerShell.exe的执行) PowerShell脚本混淆 上面列举出的只是其中的一小部分技术,但“记录PowerShell活动”那部分的安全实践建议可以检测其中的绝大部分绕过行为 虽然这种操作可能不适用于某些特殊的企业环境,但相关的网络管理员也应该尽量部署并激活本文所介绍的安全保护技术,并及时更新攻击识别信息。
2.6K100发布于 2018-02-27 - 来自专栏安全乐观主义
GitHub安全最佳实践
写在前面 GitHub安全最佳实践列表 1.不要将凭证作为代码/配置存储在GitHub中。 2.删除文件中的敏感数据和GitHub历史记录 3.限制访问控制 4.增加SECURITY.md文件 5.严格验证GitHub上的第三方应用 6.在PR阶段添加安全性测试 7.选择合适的GitHub来满足安全需求 本文,以安全维度系统介绍了维护仓库安全应该要做的事,可以作为安全组织对标的cheat sheet。 GitHub 安全最佳实践列表 1. 同样,添加一个突出显示项目安全相关信息的 SECURITY.md 文件也变得越来越普遍。它不仅为用户提供了他们需要的重要安全信息,而且还迫使维护人员考虑如何处理安全披露、更新和一般的安全实践。 6. 向 PR 阶段添加安全性测试 GitHub 有一个功能强大的事件驱动 Git hook 框架,它允许在触发事件时向所选择的服务器发送 HTTP POST 请求。
1.4K10发布于 2019-11-20 - 来自专栏木子墨的前端日常
Nginx实践--安全升级
此外,除了安全性方面,使用内网ip进行接口转发也省去了转发中的DNS重新解析的过程,有利于大幅提升接口转发效率。 综上,在proxy_pass转发中我们使用了两种方案来对安全性做一些提升 proxy_pass转发到外网域名,同时在接口服务器上添加访问来源白名单,把nginx服务器的ip写进去 proxy_pass转发到内网域名 这样在安全和效率高上就都能得到一定的提升。 如有错误,欢迎大家指正 好好学习,天天向上~~
1.2K30发布于 2018-12-18 - 来自专栏渗透云笔记
代码审计安全实践
第一次写文章,希望大牛们轻喷 一、代码审计安全 代码编写安全: 程序的两大根本:变量与函数 漏洞形成的条件:可以控制的变量“一切输入都是有害的 ” 变量到达有利用价值的函数(危险函数)“一切进入函数的变量是有害的 变量安全: 秉承一个原则 “一切输入都是有害的” 预定义变量[常规外部提交的变量]: 除了$_GET,$_POST,$_Cookie的提交之外,还来源于$_SERVER,$_ENV, $_SESSION 变量覆盖[未初始化及覆盖前定义的变量]: 如:$$使用不当、遍历初始化变量、 extract() 、parse_str()等 变量的传递与存储[中转的变量]: 存储于数据库、文件[如配置、缓存文件等 函数安全 通读全部代码 四、安全编程规范: 1.SQL注入防护 (1)采用预编译,在Java Web开发一般在采用预处理,在sql语句中放入? 这段代码正常执行的情况下是会输出当前用户名的,而我们在php.ini里面吧PHP安全模式打开一下,再重启下WebServer从新加载PHP配置文件,再执行这段代码的时候,我们会看到下面这个提示: Waring
2.1K30发布于 2019-11-11 - 来自专栏Hadoop数据仓库
ShardingSphere实践(6)——弹性伸缩
背景 对于使用单数据库运行的系统来说,如何安全简单地将数据迁移至水平分片的数据库上,一直以来都是一个迫切的需求。 查询迁移作业进度: mysql> show scaling status 0130317c30317c3054317c6d6967726174696e675f6462; +------+-------- resource_3 | select count(1) from t_order_item_2 UNION ALL select count(1) from t_order_item_6 , item_id, item_quantity) values (1,1,1,10),(2,1,2,20),(3,2,3,30),(4,2,4,40),(5,3,1,10),(6,3,2,20), (7,4,3,30),(8,4,4,40), (9,5,1,10),(10,5,2,20),(11,6,3,30),(12,6,4,40),(13,7,1,10),(14,7,2,20),(15,8,3,30
4.7K21编辑于 2022-06-12 - 来自专栏FreeBuf
企业FRP安全实践
看到的第一反应是无论此事真假,但如果发生在我司,安全部有没有能力去发现? 文章核心内容如下: 两种常用模式的示例 如何提取特征进行安全检测 绕过安全检测的思路 1.2 frp简介 frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 3.3 针对于客户端 流量分析类安全产品可以根据特征检测。 ? 四、绕过思路 4.1 数据包特征分析 传统的流量分析安全设备是根据规则来命中事件类型,那么我们来研究一下数据包有什么特征。 也欢迎各位安全同僚拍砖、交流和技术分享! f11pMe55aFR92NfH_VNgBg入侵检测系列1(上):基于私有协议的加密流量分析思路(Teamviewer篇) [3]https://uknowsec.cn/posts/notes/FRP%E6%
2.1K20发布于 2021-01-12 - 来自专栏API技术
API 安全最佳实践
然而,API 的开放性也带来了潜在的安全挑战。因此,确保强大的 API 安全机制对于保护敏感信息和维护系统的完整性至关重要。 在本篇文章中,我们将深入研究 API 的安全性,并通过使用 C# 的实际示例探索一些基本机制。API安全简介API 安全是为了防范未经授权的访问、数据泄露以及其他潜在风险而采取的一系列实践和技术。 (TLS) 或安全套接字层 (SSL) 加密可确保客户端和 API 服务器之间的安全通信。 app.UseSerilogRequestLogging(); // More middleware and configurations }}结论除了上述流程,API 安全最佳实践还应关注以下四点 通过整合这些最佳实践,开发人员可以构建强大且安全的 API,从而为更安全的数字生态系统做出贡献。原文链接:Best Practices of API Security.
1.8K10编辑于 2023-12-20 - 来自专栏Linyb极客之路
HTTPS安全最佳实践
检查HTTP标头 有几个HTTP标头header可以控制具有安全隐患的方面,虽然并非所有这些标头都与HTTPS相关。 这个网站(https://securityheaders.com/)能帮助检查安全头,它提供了一些很重要标头的说明。 4. (2)使用安全的cookie 任何未标记为安全的 cookie 都可以通过HTTP和HTTPS发送,反过来,攻击者可以使用它来模仿HTTPS站点上的用户。 确保使用安全的cookie。 6.
2.3K30发布于 2018-09-27 - 来自专栏云安全社区
云原生安全实践
文章首发于:火线Zone云安全社区 作者:Clare Clare是安全架构师,专注于信息安全攻防研究和深度测试,今天分享的主题是“云原生安全实践”。 我讲的议题是,云原生安全实践,主要从两个方面来介绍云原生安全。 第一个是云原生安全面临的风险 第二个是云原生安全实践 云原生的定义:它是一种构建和运行应用程序的现代方法,它主要代表的是容器,微服务,持续集成交付和devops为代表的一个技术体系。 所以相对于传统安全,云原生安全仍然是真正的挑战。 云原生安全,它是一种保护云原生平台及基础设施和整个应用程序安全实践,包括自动化数据分析,威胁检测,确保应用整个安全性及纵深防御。 平台的安全管控,和其他相关联的安全隐患,都会对云平台导致很大的风险。 接下来第二个,就是云原生安全实践,主要讲述在云原生整个过程中,如何应对遇到的风险。
1.2K31编辑于 2022-03-17 - 来自专栏ZC.TigerRoot
HTTPS 安全最佳实践(二)之安全加固
HTTPS 安全最佳实践(二)之安全加固 当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。 本篇正文讲述的是 HTTP 安全的最佳实践,着重在于 HTTPS 网站的 Header 的相关配置。 它提供了 include subdomains 选项,这在实践中可能是太宽泛了。 如果是这样的话,那么从一个较小的实践开始,如果在一段时间之后没有遇到问题,就增加它。如果 SSL/TLS 密钥需要更新,建立备份计划。优先创建备份密钥和离线存储。 示例HTTP头: Public-Key-Pins: max-age=5184000; pin-sha256="+oZq/vo3Kcv0CQPjpdwyInqVXmLiobmUJ3FaDpD/U6c=";
3.1K10发布于 2020-04-30 - 来自专栏云鼎实验室的专栏
安全验证 | 容器安全的验证度量实践
本文将结合腾讯云在容器安全的运营实践,分析介绍如何通过安全验证度量,从攻击者视角持续发现防御的弱点,提升防御水平,实现云原生架构下的高质量安全运营。 以腾讯为例,早在2022年6月就已经实现了内部海量自研业务的全面上云,包括微信、王者荣耀、腾讯会议等,达到了数千万核的上云规模,建设并维护着国内最大规模的Kubernetes集群,打造了国内最大规模的云原生实践 在度量指标的设计上,主要参考以下几个维度的内容进行设计:(1)ATT&CK攻防矩阵框架;(2)腾讯蓝军实践经验以及安全研究成果;(3)腾讯容器安全相关产品能力;(4)腾讯容器安全运营实践;(5)标准、技术要求等行业规范 这些实践经验,一方面会对矩阵的技战法做有效的补充,同时可以从实践的维度,对各个指标从可利用难易度的角度,进行更真实的风险等级划分,使得验证指标有着更好的完整度和可运营、可执行性。 验证指标示例 容器安全验证实践 云原生安全测试平台 2022年6月召开的云原生产业大会上,由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。
1.1K10编辑于 2024-05-07 - 来自专栏API安全
案例实践 | 某能源企业API安全实践
、业务安全和数据安全防护战线不断延伸,给安全防护带来新压力,增加了“一点突破,影响全网”的风险。 在本年度国家组织的专项检查中发现,部分电厂生产监控网络和互联网相连,极大增加了系统安全风险。国家、行业主管部门一直以来高度重视网络与信息安全工作。 自2014年起,国家网信办、发改委、公安部、国家能源局等主管部门加大对电力信息安全的重点监督管控,相继颁布了《电力监控系统安全防护规定》(2014第14号令)等一系列法令、制度和标准,进一步明确了电网信息安全的重要性 需求场景随着电力系统的逐步在线化和智能化,能源企业的业务系统也面临着对外接口的安全问题,需要制定全面计划并及时发现、测试和保护 API,并将 API 安全纳入其整体应用程序安全策略。 关于星阑星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司
67510编辑于 2023-01-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号