- 综合排序
- 最热优先
- 最新优先
- 来自专栏携程技术
4月热招职位 | 开发运维测试安全产品UED
4、熟悉SOA、Redis、Elasticsearch/solr、NoSQL、MQ等知识 。 5、熟悉大规模 Web 应用开发,有一定的性能优化和系统安全的实践。 4、熟悉Mysql数据库,熟练运用性能测试、自动化测试工具进行测试,对安全性测试有一定的了解。 5、具备分析、解决突发问题的能力,良好的业务需求分析能力和技术问题分析能力。 信息安全类 1、安全开发工程师(Python) 岗位职责: 1、根据产品需求,配合前端开发实现后端服务; 2、参与产品的维护和优化提升; 3、参与设计和编写 WEB 应用。 4、了解tornado、flask、beego、spring等web开发框架中的一种或多种。 5、有良好的沟通能力,具有团队精神, 具备一定的安全经验。 6、为人乐观,理解能力强,乐于分享。 研读信息安全法规及行业监管要求,跟踪行业发展趋势,修订公司信息安全制度,组织信息安全相关培训。 3. 对公司各业务系统进行风险评估,识别可能存在的风险并给出合理的整改方案,推动整改。 4.
95420发布于 2018-07-05 - 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. 攻击 1.1 跨站脚本攻击(XSS) XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 注入攻击 injection 3.1 SQL 注入 demo 4. Dos 通过某种方式(构造特定请求),导致服务器资源被显著消耗,来不及响应更多请求,导致请求挤压,进而引起雪崩效应。 (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script
1.3K20编辑于 2023-01-02 - 来自专栏xdecode
开发安全规约
hasModulePrivilege(userID, FSConstants.MODULEID.SERVERCONFIG)) { 3 throw new NoPrivilegeException(); 4 )" 2 preparedStatement.setString( 1, "xx"); 3 preparedStatement.setString( 2, "xx"); 4 preparedStatement.setString 使用FR.html($xx, title)替代$xx.html() 1 // 错误 2 $("#popup_title").html(title); 3 // 正确 4 transferStr(content)); 17 return ob; 18 } 对于前端直接输出的文本, 使用StableUtils.replaceScript4Xss getTokenFromUrl(signResult.url)); 对于系统敏感操作, 需要校验token, 止csrf攻击. 1 /** 2 * 校验jwt 3 * 4
94290发布于 2018-01-24 - 来自专栏python基础文章
网络安全——网络层IPSec安全协议(4)
前言 在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。 IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 AH头是一个IPv6的扩展头按照RFC2460标准的规定:它的值是头长度减去一个64位,在认证数据为标准的96位时,这个域的值为4。 (3)保留字段:16位,该字段用于今后的扩充,设置为0。 (4)安全参数索引SPl:专有32位值,用以区分那些目的IP地址和安全协议类型相同,但算法不同的数据包。 (5)序列号:32位整数,它代表一个单调递增计数器的值。 通常,当用于IPv6时,AH出现在IPv6逐跳路由头之后,IPv6目的选项之前;而用于IPv4时,AH跟随主IPv4头。
1K20编辑于 2023-10-15 - 来自专栏啄木鸟软件测试
安全测试工具(连载4)
案例4:电子商务登录功能CSRF测试 打开CSRFTester,设置浏览器代理为:127.0.0.1:8008,点击【Start Recording】按键,在浏览器页面输入电子商务登录页面的IP地址,
76910发布于 2019-12-12 - 来自专栏Python
4安全意识-试卷
4.(单选题) 邮件攻击类型不包括下列哪一个?(10分) A. 勒索病毒 B. 商业邮件诈骗 C. 水坑攻击 D. 仿冒企业邮件 回答错误 正确答案为: C, 答案解析:略。 5. (单选题) 下列哪一个不属于信息安全范畴?(10分) A. 人员安全 B. 实体安全 C. 运行安全 D. 电源安全 回答错误 正确答案为: D, 答案解析:略。 9. (多选题) 上网安全中的两种公共设备谨慎用,指的是:(10分) A. 计算机安全 B. 公共WIFI C. 公共手机充电桩 D. (多选题) 信息安全范畴包括下列哪几个:(10分) A. 计算机安全 B. 通信安全 C. 信息本身的安全 D. (多选题) 信息安全常识包含下列哪几个:(10分) A. 邮件安全 B. 密码安全 C. 物理安全 D. 化工安全 回答错误 正确答案为: A、B、C, 答案解析:略。 19.
40010编辑于 2024-10-12 - 来自专栏云云众生s
4个API安全最佳实践
译自 4 API Security Best Practices,作者 Judith Kahrer。 API 是现代数字解决方案的支柱。因此,API 安全应该成为首要的业务关注点。 如果您考虑以下两个要点,您将为您的 API 安全奠定良好的基础: 使用 API 网关。 使用访问令牌进行授权。 让我详细说明它们的优势,并展示如何发展您的 API 安全。 1. JWT 安全最佳实践 包括以下内容: 始终验证访问令牌。 避免常见风险 使用 API 网关和访问令牌进行授权,可以避免常见的 API 安全风险。 4. 提升 API 安全性 通过添加 API 网关并使用 OAuth 或 OpenID Connect 基于访问令牌进行授权,您可以缓解许多主要的 API 安全风险。
1.3K10编辑于 2024-07-15 - 来自专栏达达前端
(4)Angular的开发
JavaScript 中专注业务逻辑的代码 通过简单的指令结合页面结构与逻辑数据 通过自定义指令实现组件化编程 我们需要本地运行 Angular 文档 下载最新的 Angular 包 MVC 是一种应用程序的开发思想
4.3K40发布于 2019-07-22 - 来自专栏简言之
Web安全工具开发
就像国光师傅说的那样我们无论是开发还是安全都有很长的路要走,路漫漫其修远兮,吾将上下而求索! 团队成员 本项目由我担任组长,带领其余3人共同开发,因此代码风格会有不同,相关功能的实现深度也会参差不齐 ! Viggo大佬开发的Webstack项目,该项目是基于Bootstrap开发的纯前端页面,因此前端我沿用了Webstack 的风格并融合了Tabler UI 风格,并用 Django 写了后台管理,可在线对分类和条目进行管理 3.现在项目已经可以正常运行了,但是想要使用漏洞扫描功能,需要安装AWVS,并在项目的setting.py 中配置 AWVS的 API URL和API KEY 4.忘记密码功能相关配置在项目的setting.py 'xxx' # 你的邮箱账号 5.创建超级管理员 python manage.py createsuperuser 服务器部署 请参考:使用宝塔面板快速部署Django项目 TO DO 不论是开发还是安全感觉都有很长的路要走
1.8K30编辑于 2023-01-04 - 来自专栏雪胖纸的玩蛇日常
超越村后端开发(4:API开发)
1.users相关的api开发 1.在settings中添加APPID,SECRET ? 2.wish相关的api开发 1.新发布愿望的api开发 1.在apps/wish/views.py中: from django.shortcuts import render from rest_framework.views 2.获取愿望列表api的开发 注意:这里获取的愿望,都是状态在‘进行中’的愿望。 3.user_operation相关的开发 1.开发发布对愿望的评论(也就是消息),获取消息列表,读特定消息,删除特定消息的api 1.通过后台先在【评论表】内手动添加几条模拟消息 2.在apps/user_operation 4.开发用户对自己的愿望进行操作的api 1.在apps/use_operation/views.py中: from wish.serializers import WishModelSerializer
3.2K10发布于 2019-03-29 - 来自专栏云安全
每个安全团队都应进行的 4 个安全演练
每个组织都应该进行安全演练,回答有关勒索软件和分布式拒绝服务(DDoS)攻击、第三方风险和内部威胁相关的关键问题。确保企业免受漏洞的影响是安全团队的基本职能。 它也是网络安全供应商的最佳实践,同时也是为了满足合规要求。安全演练是一种受欢迎的评估测试,允许安全团队和企业管理层选择一个威胁,然后控制和补救威胁的过程。 安全和管理团队多久重新评估和更新这些控制措施,以适应不断变化的技术能力?有哪些物理安全控制措施,以确保只有授权用户才能访问本地计算资产? 4.分布式拒绝服务攻击分布式拒绝服务(DDoS)攻击的目标是简单地影响业务运营。2023年对谷歌的攻击达到每秒近4亿次请求的峰值,展示了当今僵尸网络DDos对企业防御能力的巨大考验。 虽然每个安全演练都是独特的,并且将包括与企业目标相关的问题,但上述问题可以帮助安全团队确定他们的优先事项。一般来说,安全演练的第一步是确定目标,这将反映在最终提出的问题上。来源:csoonline
35510编辑于 2024-10-25 - 来自专栏喵了个咪的博客空间
4.请求安全-- 结合使用的安全优势总结
#结合使用的安全优势与总结# ##前言## 写到这里基本上笔者在请求中遇到的问题,以及运用到实践中的解决方案,基本上分为,请求唯一性,单设备登录,单点登录,MD5校验 这几种校验的小技巧,在之前都对着几种校验方式进行也一些独立的说明 (还没有看过的可以先去游览查阅一下,在请求安全模块中) 在本章里面会着重说明怎么样综合使用,如何获得比较高的安全性,以及会简单介绍一下方便使用的一种高级加密方法. ##1.回顾## ###1.1 单设备登录 结合增加安全性## 1.因为有单设备登录ID是动态的,所以吧ID作为MD5的条件加密会更安全 2.MD5的随机数和时间戳与唯一请求的使用的相同,应为有MD5加密,所以模拟随机数和时间戳需要先破解MD5校验 3.密文加密可以保证所有参数都是密文,进一步增加随机数和时间戳被修改问题 ##4. ##5.总结## 通过以上所述各项小技巧的组合确实可以得到不错的安全性,基本上关于请求安全就告一段落了,笔者水平有限希望 大家多提意见,多交流!
81640发布于 2018-03-01 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
912110发布于 2018-01-08 - 来自专栏啄木鸟软件测试
软件安全性测试(连载4)
XSS测试就是在容易出现XSS注入的地方输入被测代码,提交后观察其显示是否会触发JavaScript脚本。常用的XSS测试JavaScript脚本主要就下面两个。
85720发布于 2019-12-23 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
44710发布于 2019-12-04 - 来自专栏嘉为动态
微软安全公告—2016年4月
微软于北京时间2016年4月12日发布了13个新的安全公告,其中6个为严重等级,7个为重要等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 以下是所有安全公告的内容,供您参考。 公告标识 MS16-037标题Internet Explorer 累积安全更新 (3148531)摘要此安全更新修复了 Internet Explorer 中的多个漏洞。 (3148532)摘要此安全更新可修复 Microsoft Edge 中的漏洞。 ,请以网站上的安全公告内容为准。
1.4K30发布于 2018-12-21 - 来自专栏IMWeb前端团队
Angular4 实战开发
原文链接:Angular4 实战开发
994100发布于 2018-01-08 - 来自专栏网络收集
4、后台项目的开发
4、后台项目的开发1.后台项目的目标我们已经学习完了 KOA2 的快速上手, 并且对 KOA2 当中的中间件的特点页进行了讲解. 接下来就是利用KOA2 的知识来进行后台项目的开发,后台项目需要达到这以下几个目标:1.计算服务器处理请求的总耗时计算出服务器对于这个请求它的所有中间件总耗时时长究竟是,我们需要计算一下2.在响应头上加上响应内容的 每一个目标就是一个中间件需要实现的功能, 所以后台项目中需要有三个中间件2.后台项目的开发步骤创建一个新的文件夹, 叫做 koa_server , 这个文件夹就是后台项目的文件夹1.项目准备1.安装包npm contentType = 'application/json; charset=utf-8' ctx.set('Content-Type', contentType) await next() }4.
64230编辑于 2022-06-18 - 来自专栏王小雷
2.antlr4开发
2.antlr4开发 上一篇:1.ANTLR4 helloworld基础开发与IDEA插件使用 获取源码 antlr4.7.2 1.通过MyHelloVisitor实现HelloVisitor package wang.xiaolei.lei; import org.antlr.v4.runtime.tree.ErrorNode; import org.antlr.v4.runtime.tree.ParseTree ; import org.antlr.v4.runtime.tree.RuleNode; import org.antlr.v4.runtime.tree.TerminalNode; /** * 作者 runtime.CharStream; import org.antlr.v4.runtime.CharStreams; import org.antlr.v4.runtime.CommonTokenStream 上一篇:1.ANTLR4 helloworld基础开发与IDEA插件使用
99610发布于 2019-12-20 - 来自专栏IMWeb前端团队
Angular4 实战开发
《Angular 实战系列》目前处于章节不定,内容不定阶段,这一系列文章不会长篇大论的讲解概念,而是以用为主,结合通俗易懂的实例来让大家理解常用的知识点。
83520发布于 2019-12-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号