- 综合排序
- 最热优先
- 最新优先
- 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. 攻击 1.1 跨站脚本攻击(XSS) XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script 2.2.4 SameSite Cookie 避免用户信息被携带 下面的部分参考自Cookie 的 SameSite 属性 Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险
1.3K20编辑于 2023-01-02 - 来自专栏xdecode
开发安全规约
MAX_IMAGE_SIZE:20M 3 * 4 * @param file 5 * @return 6 * @throws FileNotFoundException 7 2 $("#popup_title").html(title); 3 // 正确 4 FR.html($("#popup_title"), title); 5 6 7 攻击. 1 /** 2 * 校验jwt 3 * 4 * @param req 请求 5 * @return 校验结果 6 */ 7
94290发布于 2018-01-24 - 来自专栏XBD
CentOS7密码安全设置
设置连续输错 5 次口令,账号锁定 5 分钟,先检查 PAM 模块版本,搜索 pam_tally2 是否存在
83510编辑于 2024-08-07 - 来自专栏咻一咻
CentOS Linux 7安全基线检查
操作时建议做好记录或备份 设置密码修改最小间隔时间 | 身份鉴别 描述 设置密码修改最小间隔时间,限制密码更改过于频繁 加固建议 在/etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7- 14之间,建议为7: PASS_MIN_DAYS 7 需同时执行命令为root用户设置: chage --mindays 7 root 操作时建议做好记录或备份 密码复杂度检查 | 身份鉴别 描述 检查密码长度和密码是否使用多种字符类型 | 身份鉴别 描述 确保密码到期警告天数为28或更多 加固建议 在/etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置 描述 设置SSH空闲超时退出时间,可降低未授权用户访问其他用户 /sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
3.1K20发布于 2020-05-29 - 来自专栏啄木鸟软件测试
安全测试工具(连载7)
它是网络管理员必用的软件之一,以及用以评估网络系统安全。本书介绍的nmap版本为V7.40。 nmap的三大功能。 l探测一组主机是否在线。 l扫描 主机端口,嗅探所提供的网络服务。 on 127.0.0.1 Discovered open port 8005/tcp on 127.0.0.1 Discovered open port 5521/tcp on 127.0.0.1 案例7:
1.2K40发布于 2019-12-12 - 来自专栏运维前线
CentOS 7 安全加固、检测、审计
key # if specified --rwo , display only warnings [root@linuxprobe ~]# rkhunter --check --sk Lynis 安全审计工具
2.4K30发布于 2019-05-26 - 来自专栏网站技术分享
Centos7 安全加固密码规则
Centos7 安全加固密码规则 vi /etc/login.defs PASS_MAX_DAYS 60 # 密码到期时间 #设置密码过期的天数。 用户必须在几天内更改密码。 PASS_WARN_AGE 7 # 密码过期提示时间 #在到期前设置警告的天数。 此设置仅在创建用户时才会产生影响,而不会影响到现有用户。 设定普通用户锁定后,多少时间后解锁,单位是秒; even_deny_root 也限制root用户; root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒; Centos7
1.2K20发布于 2021-10-13 - 来自专栏嘉为动态
微软安全公告—2016年7月
微软于北京时间2016年7月12日发布了11个新的安全公告,其中6个为严重等级,5个为重要等级。 ---- 2016年7月新的安全漏洞 以下是所有安全公告的内容,供您参考。 Windows Server 2008(用于 32 位系统)Service Pack 2、Windows Server 2008(用于基于 x64 的系统)Service Pack 2、Windows 7、 周以内重启要求可能要求重启公告IDMS16-087 ▽最高严重级严重受影响软件及其软件版本Microsoft Windows(Windows Vista、Windows Server 2008、Windows 7、 Windows Server 2008(用于 32 位系统)Service Pack 2、Windows Server 2008(用于基于 x64 的系统)Service Pack 2、Windows 7、
1.1K50发布于 2018-12-21 - 来自专栏啄木鸟软件测试
软件安全性测试(连载7)
由此可见点击挟持首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。就是通过iframe结合CSS技术,使用户在执行某个操作的时候替黑客执行了某个动作。
71910发布于 2019-12-23 - 来自专栏E=mc²
7类 登录注册 安全漏洞
常见的验证方式有:验证码(字符或数值计算),滑动验证(滑块或特定路径),点击验证(按照要求点击字符或图案)等。
1.6K10发布于 2020-08-17 - 来自专栏建站知识
CentOS 7 - RabbitMQ 开启ssl安全认证
CentOS 7 - RabbitMQ 开启ssl安全认证生成证书TLS / SSL证书生成器:git clone https://github.com/michaelklishin/tls-gen tls-gencd
1.5K40编辑于 2022-06-15 - 来自专栏简言之
Web安全工具开发
就像国光师傅说的那样我们无论是开发还是安全都有很长的路要走,路漫漫其修远兮,吾将上下而求索! 团队成员 本项目由我担任组长,带领其余3人共同开发,因此代码风格会有不同,相关功能的实现深度也会参差不齐 ! render(request, "vuln-detail.html", {'data': data_dict}) 基于POC验证的中间件漏洞扫描 本系统使用POC脚本实现对一些中间件的漏洞扫描[7] Viggo大佬开发的Webstack项目,该项目是基于Bootstrap开发的纯前端页面,因此前端我沿用了Webstack 的风格并融合了Tabler UI 风格,并用 Django 写了后台管理,可在线对分类和条目进行管理 'xxx' # 你的邮箱账号 5.创建超级管理员 python manage.py createsuperuser 服务器部署 请参考:使用宝塔面板快速部署Django项目 TO DO 不论是开发还是安全感觉都有很长的路要走
1.8K30编辑于 2023-01-04 - 来自专栏写代码和思考
Android开发(7) 文件下载
概述 我们在开发中经常需要从服务器下载文件,下载的内容可能有交换的信息,缓存的图片,程序更新包等。我们使用URLConnection来实现下载。
77700发布于 2020-03-16 - 来自专栏后端精进之路
Java并发编程系列-(7) Java线程安全
7. 线程安全 7.1 线程安全的定义 如果多线程下使用这个类,不过多线程如何使用和调度这个类,这个类总是表示出正确的行为,这个类就是线程安全的。 类的线程安全表现为: 操作的原子性 内存的可见性 不做正确的同步,在多个线程之间共享状态的时候,就会出现线程不安全。 加锁和CAS 加锁可以显示地控制线程对类的访问,使用正确可以保证线程安全。 CAS操作通过不断的循环对比,试图对目标对象进行修改,也能保证线程安全。广泛用于JDK并发容器的实现中。 安全的发布 类中持有的成员变量,特别是对象的引用,如果这个成员对象不是线程安全的,通过get等方法发布出去,会造成这个成员对象本身持有的数据在多线程下不正确的修改,从而造成整个类线程不安全的问题。 如果是开发自己的管理工具,需要用更加程序化的方式扫描服务进程、定位死锁,可以考虑使用 Java 提供的标准管理 API,ThreadMXBean,其直接就提供 findDeadlockedThreads
40420编辑于 2023-10-19 - 来自专栏WalkingCloud
CentOS7系统安全加固小结
CentOS7系统安全加固小结 1.设置口令策略+登录限制 加强口令的复杂度等,降低被猜解的可能性。 PASS_MAX_DAYS 30 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 2)使用chage命令修改用户设置 chage -m 0 -M 30 -E 2020-06-30 -W 7 root 表示将root用户的密码最长使用天数设为30,最短使用天数设为0,密码2020年 2.SSH安全加固 1、限制root用户直接登录 创建普通权限账号并配置密码,防止无法远程登录 vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no service sshd restart 3.记录所有用户的登录和操作日志 通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查 vi /etc/profile修改配置文件,在配置文件中输入以下内容
4.7K10发布于 2020-06-10 - 来自专栏IT大咖说
7 大最致命的云安全盲点
译者:杨志昂 云计算的好处在其创新性,但近来负责 IT 安全的各个组织也发现,在这个云越来越普及的时代,网络安全遇到许多障碍。 网络安全面临的许多重大挑战都与安全可见性相关,本文介绍了导致这些可见性问题的一些最致命的云安全盲点。 当下在提供 IT 服务的方面,云计算正从一个可选项进化为事实上的标准选项。 问题是,如果没有 IT 或网络安全专家的密切合作,这些草草动工的云技术“竖井”可能成为这些组织安全上的巨大盲点。 五、容器和容器编排 为了支持软件开发中持续集成 / 持续交付(CI/CD)的飞速改进和发展,如今许多组织都充分利用了短时运行的容器所带来的灵活性和可扩展性,在云计算中容器化工作负载和容器编制(container 在过去十年的大部分时间里,她一直专注于信息安全领域,并定期撰写有关安全行业的文章,为网络安全的综合性网站 Dark Reading 撰稿。 ?
1.2K20发布于 2019-09-17 - 来自专栏嘉为动态
Red Hat安全公告—2016年7月
在2016年6月份至2016年7月份 Red hat CVE漏洞库发布了7个“重要”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。 安全公告每月更新一次,旨在查找解决严重的漏洞问题。 ---- 2016年7月新的安全漏洞 以下是所有安全公告的内容,供您参考。 12 关于这些新发布的所有安全漏洞,可在以下页面中找到详细信息: https://access.redhat.com/security/cve/ 备注:需使用您的Red Hat账号登录,方可查看全部安全漏洞详细信息 ---- 安全漏洞详细信息 公告标识 CVE-2016-5320 ▽标题CVE-2016-5320描述** RESERVED ** This candidate has been reserved ,请以网站上的安全公告内容为准。
52330发布于 2018-12-21 - 来自专栏向治洪
Android开发中的安全
根据Android四大框架来解说安全机制 代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为proguard,最新版本为4.7; proguard 、“shared”、“testkey”等,其中“media”证书用于多媒体、下载场景中;“platform”证书用于系统场景中;“shared”证书用于启动器、电话簿场景中;“testkey”证书用于开发场景中 jarsigner会提示输入密钥库的口令和证书别名的口令,全部输入后,即可完成签名 查看数字证书签名 #jarsigner -verify -verbose -certs demo.apk 网络安全 目前ksoap不支持WS-Security TCP层 SSL、TSL 数据链路层 WAPI 数据库安全 Android采用的SQLite目前采用明文存储数据;安全涉及加密、读写、搜索等。 分区层面 在系统运行时,最外层安全保护是由Linux系统提供的,其中system.img所在的分区是只读的,不允许用户写入,而data.img所在的分区是可读写的,用于存放用户数据。
1.2K90发布于 2018-02-02 - 来自专栏LaravelCode
接口开发安全问题
接口开发安全问题 公司业务扩展需要,需对外提供接口给其他第三方系统使用。很多人说是系统并不安全,缺乏安全考虑。 上方一些内容来自微信开发文档 IP白名单,第三方需要联调需提供外网机器IP地址 说了这么多,本身也不确定此方案可不可行,但是应该也差不多吧。
84410发布于 2019-12-17 - 来自专栏从运维安全到DevSecOps
ThinkPHP安全开发规范
首发于安全客:ThinkPHP安全开发规范 - 安全客,安全资讯平台 常见安全问题 目前ThinkPHP在国内中小型开发场景非常流行,但由于漏洞频发,主要集中在SQL注入、信息泄露(debug模式打开 另外由于ThinkPHP版本比较多,实际业务多用3.2.3或5.1,因此下面主要从这两个版本来介绍ThinkPHP开发过程中常见的安全问题。 关闭调试模式 无论是本地开发还是生产环境部署,都不建议直接通过修改配置文件的方式开启/关闭调试模式,而应该使用环境变量(本地开发可以通过定义.env文件)。 开启安全头部:更改session配置参数 及时升级安全版本 关注官方微信公众号或开发者周刊可及时了解 大版本 安全建议版本 3.2 3.2.4+ 5.1 5.1.25+ 业务逻辑安全 很多漏洞源于某个业务逻辑自身的安全隐患 参考 ThinkPHP从漏洞挖掘到安全防御 ThinkPHP3.2.3安全手册 ThinkPHP5.1安全手册 ThinkPHP5安全规范指引 开发PHP商城要注意的一些常见安全问题 CI框架安全过滤
2.2K40编辑于 2022-06-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号