- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
安全测试工具(连载6)
2.3 Pangolin Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。 Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。 1. 产品介绍 其特点如下。 l全面的数据库支持。
91820发布于 2019-12-12 - 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. 攻击 1.1 跨站脚本攻击(XSS) XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script 2.2.4 SameSite Cookie 避免用户信息被携带 下面的部分参考自Cookie 的 SameSite 属性 Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险
1.3K20编辑于 2023-01-02 - 来自专栏xdecode
开发安全规约
判断图片大小,是否大于MAX_IMAGE_SIZE:20M 3 * 4 * @param file 5 * @return 6 * @throws FileNotFoundException 2 $("#popup_title").html(title); 3 // 正确 4 FR.html($("#popup_title"), title); 5 6 token, 止csrf攻击. 1 /** 2 * 校验jwt 3 * 4 * @param req 请求 5 * @return 校验结果 6
94290发布于 2018-01-24 - 来自专栏我的网安魔法之旅
Java安全之CommonsCollections6链
8u71后官方修改了AnnotationInvocationHandler类中的readObject()函数导致了在高版本下 cc1 链不可利用的问题,所以这篇文章就来介绍新的链子弥补这个缺陷,cc6链比较通用 ; import java.io.*; import java.util.HashMap; import java.util.Map; public class CommonsCollections6_ ByteArrayInputStream(barr.toByteArray())); Object o = (Object)ois.readObject(); } } 在cc6中 java.lang.reflect.Field; import java.util.HashMap; import java.util.Map; public class CommonsCollections_6 参考链接: https://juejin.cn/post/7130505267074203656 Java篇之ysoserial中的一些操作 Java篇Commons Collections 6
42720编辑于 2023-05-16 - 来自专栏啄木鸟软件测试
软件安全性测试(连载6)
跨站请求伪造(Cross-Site Request Forgery:CSRF),也被称为 One-Click Attack 或者 Session Riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
84920发布于 2019-12-23 - 来自专栏嘉为动态
微软安全公告—2016年6月
微软于北京时间2016年6月14日发布了16个新的安全公告,其中5个为严重等级,11个为重要等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 2016年6月新的安全漏洞 以下是所有安全公告的内容,供您参考。 公告标识:MS16-063标题Internet Explorer 累积安全更新 (3163649)摘要此安全更新程序修复了 Internet Explorer 中的多个漏洞。 ,请以网站上的安全公告内容为准。
1K30发布于 2018-12-21 - 来自专栏iSharkFly
Confluence 6 安全相关问题提交链接
找到和报告安全漏洞 Atlassian 有关安全漏洞的报告细节,请参考如何报告一个安全问题(How to Report a Security Issue)链接。 发布 Confluence 安全公共 Atlassian 有关发布安全漏洞的细节,请参考安全建议发布策略(Security Advisory Publishing Policy)链接。 严重程度 Atlassian 有关安全问题的严重程度排列,请参考针对安全问题的严重程度(Severity Levels for Security Issues)链接。 我们的安全缺陷修复策略 我们有关安全缺陷问题修复的补丁发布信息,请参考安全缺陷修复策略(Security Bugfix Policy)链接。 https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories
50730发布于 2019-01-30 - 来自专栏张善友的专栏
.NET 6 Preview 6 正式发布: 关注网络开发
微软.NET 团队的项目经理在博客上发布了.NET 6 Preview 6, 在候选发布阶段之前的倒数第二个预览版,也就是8月份还会发布一个Preview 7,9月份开始进入RC,两个候选版本将专注于质量修复 Preview 6 版本本身相对较小,而 Preview 7 功能方面会更多,Preview 6主要集中在网络开发方面,同时Visual Studio 2022 为WPF 应用程序的开发提供了实时预览。 开发人员可以重写覆盖这个方法为类型设置全局设置。 .NET 6 Preview 6发布的同时,Visual Studio 2022 也发布了的新预览版。亮点是 WPF 应用程序的新实时预览。 上篇文章 .NET 6 亮点之工作负载,它是统一 .NET 的基础,我们介绍了工作负载,在 Preview 6 进一步完善了工作负载命令,旨在帮助开发人员更轻松地发现和管理可选工作负载。 NET 用户现在可以享受与 LDAP 服务器的安全通信。
1.2K10发布于 2021-07-19 - 来自专栏绿盟科技研究通讯
多方安全计算(6)MPC中场梳理
此类方案参数设定往往需要根据实际任务数值范围与计算深度进行调整 · 伪随机数模块:主要包含伪随机数生成器PRG,用于生成某范围内的伪随机数,其不可预测性是众多密码学算法的信任之源;实现的方式较多,读者不妨参考[6] 4.3 信息扰动模块 在部分实际场景中,需直接暴露或提供信息,而不是基于信息进行安全计算;此时通常要确保信息具有一定的统计可用性和个体安全性,传统加密方案或上述功能性加密方案都不可用,此模块常借助于差分隐私技术完成 International Journal of Information Security, 2010, 9(6): 371-385. [5]: https://github.com/microsoft /SEAL [6]:https://zh.m.wikipedia.org/zh-hans/%E4%BC%AA%E9%9A%8F%E6%9C%BA%E6%95%B0%E7%94%9F%E6%88%90%E5% 往期回顾: 安全多方计算之前世今生 安全多方计算(1):不经意传输协议 安全多方计算:(2)隐私信息检索方案汇总分析 多方安全计算(3)MPC万能钥匙:混淆电路 多方安全计算(4)MPC万能积木 秘密共享
2.4K11编辑于 2023-02-22 - 来自专栏iSharkFly
配置 Confluence 6 安全的最佳实践
请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。 这个页面中的安全配置是基于我们已知情况下的最好配置了。 没有任何安全设置都能够保证 100% 的安全的。这些安全策略被用来降低安全攻击对你系统产生的影响而让你系统能够更好的持续运行。 保持 Confluence 中只有少数用户具有管理员权限。 再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。 https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security
95240发布于 2019-01-30 - 来自专栏API安全
6月API安全漏洞报告
为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑给大家整理了6月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。 • 更新升级:定期升级MinIO到最新版本,以获得修复漏洞和安全强化的补丁。 • 安全审计:定期对Joomla系统和其相关组件进行安全审计,检查是否存在其他安全漏洞,并及时修复。 如果您正在使用受影响的版本,建议尽快升级到更新的版本来修复这个漏洞,以保护您的系统安全。小阑建议• 这些漏洞再次强调了API安全性的重要性,也显示出公司必须高度关注保护其API。 因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。
1.2K10编辑于 2023-06-30 - 来自专栏猫头虎博客专区
《21天精通IPv4 to IPv6》第6天:IPv6的安全配置——如何处理IPv6安全问题?
《21天精通IPv4 to IPv6》第6天:IPv6的安全配置——如何处理IPv6安全问题? 摘要 在《21天精通IPv4 to IPv6》系列的第六天,我,猫头虎博主,将探讨IPv6的安全配置。 本文将详细讨论IPv6面临的安全挑战、安全配置策略以及实际案例和最佳实践,以确保读者能够在处理IPv6安全问题时更加得心应手。 本文内容包含关键词,如IPv6安全、网络安全配置、IPv6最佳实践,旨在帮助读者无论是新手还是专家都能轻松理解IPv6安全问题的处理方法。 引言 随着IPv6的普及,对其安全性的关注日益增加。 正文 IPv6安全挑战 IPv6引入了一些新的安全挑战,主要包括: 扩展头部和路由选择: IPv6的扩展头部可能被用于规避安全措施。 自动配置: IPv6的自动配置特性可能被恶意利用。 安全配置策略和实例 为了确保IPv6环境的安全,以下是一些关键的安全配置策略: 防火墙策略: 确保防火墙能够处理IPv6流量,并正确配置以阻止不安全的流量。
86110编辑于 2024-04-09 - 来自专栏FreeBuf
观众报名 | 6月6日FreeBuf企业安全俱乐部·深圳站
如今,切磋交流的舞台已在路上——2023年6月6日,FreeBuf企业安全俱乐部·深圳站将重磅来袭,观众报名通道已正式开启! 观众报名入口 参会观众可扫描下方二维码免费报名: 报名时间:即日起至 6 月 5 日 大会地点:深圳益田威斯汀酒店 3 楼威斯汀宴会厅 大会时间:2023 年 6 月 6 日 09:00-18: 00 大会详情 本次大会由网络安全行业门户FreeBuf主办,腾讯安全协办。 大会以“数据安全与安全运营”为主题,邀请来自腾讯安全、易方达安全、清华大学等在内的相关网络安全负责人、资深专家参与,就企业数据安全和安全运营展开深度碰撞。 FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。
35320编辑于 2023-05-12 - 来自专栏简言之
Web安全工具开发
我们致力于打造一款安全高效、操作简单、界面清爽、兼容适配的安全工具。本项目的灵感来自于国光师傅的文章Django 编写 Web 漏洞扫描器挖坑记录。 就像国光师傅说的那样我们无论是开发还是安全都有很长的路要走,路漫漫其修远兮,吾将上下而求索! 团队成员 本项目由我担任组长,带领其余3人共同开发,因此代码风格会有不同,相关功能的实现深度也会参差不齐 ! Viggo大佬开发的Webstack项目,该项目是基于Bootstrap开发的纯前端页面,因此前端我沿用了Webstack 的风格并融合了Tabler UI 风格,并用 Django 写了后台管理,可在线对分类和条目进行管理 'xxx' # 你的邮箱账号 5.创建超级管理员 python manage.py createsuperuser 服务器部署 请参考:使用宝塔面板快速部署Django项目 TO DO 不论是开发还是安全感觉都有很长的路要走
1.8K30编辑于 2023-01-04 - 来自专栏全栈程序员必看
ES6开发_php的开发环境
由于有些低版本的浏览器还是不支持ES6语法,学习ES6,首先要学会搭建一个基本的ES6开发环境,利用工具,把ES6的语法转变成ES5的语法。 (注:build是自定义的,为了语义化命名为build,当然也可以命名成其他的,例如 compile) 2、webpack + Babel 构建 ES6 开发平台 2.1 搭建 webpack 基本文件目录 这是Traceur编译器识别ES6代码的标识。 3.2 Traceur的命令行转换方法: 首先需要用npm安装。 $ npm install -g traceur 直接运行ES6代码,以index.js为例 $ traceur index.js 将ES6输出为ES5脚本 $ traceur --script index.js 当然,感兴趣的小伙伴可以深入研究下babel及其插件的源码,了解其运行机制,以便更全面的掌握ES6转ES5的相关原理、机制。
1K10编辑于 2022-08-04 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
现代软件供应链由多个组件组成,这些组件在开发过程的每个阶段采用不同的形式。在开发阶段,将开源包、容器镜像、IaC 模块等第三方软件组件集成到代码库中。 但随着组织采用越来越多的工具和流程来跟上开发生命周期日益复杂的步伐,保持整个软件供应链的可见性变得更具挑战性。正因为如此,VCS 存储库和 CI/CD 管道正越来越多地成为攻击的目标。 采用 VCS 和 CI/CD 安全最佳实践将有助于保护软件开发和部署中涉及的组件、操作和过程。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 VCS 安全最佳实践包括强制双重身份验证和配置单点登录 (SSO)。自动扫描您的 VCS 组织设置以确保它们符合 VCS 安全最佳实践是在任何设置发生更改时获得持续保护的好方法。
94730编辑于 2022-12-29 - 来自专栏老高的技术博客
centos6 优化脚本与安全脚本
= 6 ];then echo "this script is only for CentOS 6 !" x86_64/epel-release-6-7.noarch.rpm #rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-6. x86_64/epel-release-6-8.noarch.rpm rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6 #add the rpmforge cat > /etc/modprobe.d/ipv6.conf << EOFI alias net-pf-10 off options ipv6 disable=1 EOFI echo "NETWORKING_IPV6 安全设置 #!
71030编辑于 2022-12-28 - 来自专栏嘉为动态
Red Hat安全公告—2016年6月
在2016年5月份至2016年6月份 Red hat CVE漏洞库发布了5个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。 安全公告每月更新一次,旨在查找解决严重的漏洞问题。 ---- 2016年6月新的安全漏洞 由于漏洞太多,以下只列举了“严重”、“重要”程度的安全漏洞,供您参考。 6CVE-2016-2150Importantspice-server、spice2016/6/6CVE-2016-1583Importantkernel2016/6/10 关于这些新发布的所有安全漏洞 ,可在以下页面中找到详细信息: https://access.redhat.com/security/cve/ 备注:需使用您的Red Hat账号登录,方可查看全部安全漏洞详细信息。 ,请以网站上的安全公告内容为准。
72940发布于 2018-12-21 - 来自专栏老K博客
利用ThinkPHP6实现网站安全检测
摘要 本文主要介绍了ThinkPHP6框架及其安全机制,以及如何利用这些机制和工具进行网站安全检测 一、什么是ThinkPHP6 ThinkPHP6是一款PHP开发框架,是ThinkPHP系列的最新版本 该框架具有高性能、高效、简洁易用、开发快速等特点,被广泛运用于Web应用程序的快速开发。 三、ThinkPHP6的安全机制 ThinkPHP6提供了多种机制来增强网站的安全性。 1.数据过滤 数据过滤是指对用户提交的数据进行验证和过滤,防止恶意攻击。 四、利用ThinkPHP6实现网站安全检测 在利用ThinkPHP6实现安全检测前,需要安装好ThinkPHP6环境并创建好网站。下面介绍几个常用的安全检测工具。 通过运用ThinkPHP6提供的安全机制和常用的安全检测工具,可以有效地发现和修复网站潜在的安全漏洞,帮助网站更好地保护用户信息和维护安全。
1.6K10编辑于 2024-01-08 - 来自专栏iSharkFly
Confluence 6 安全概述和建议概述 原
这个页面将对系统的安全进行大致的描述,同时也会对 Confluence 的安全配置提供建议。作为一个向公众开放的 Web 应用程序,Confluence 的应用程序级别的安全是非常重要的。 这个页面同时也对使用我们产品的用户经常可能会问到的一些安全问题进行说明。 传输层安全 Confluence 并不直接支持 SSL/TLS。 这些堆栈的信息包括了 Confluence 在运行的时候的信息,同时还包括了有关你开发服务器的一些信息。 只有非个人信息在堆栈中显示,例如操作系统的版本和 Java 的版本。 https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories
1.5K40发布于 2019-01-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号