- 综合排序
- 最热优先
- 最新优先
- 来自专栏云鼎实验室的专栏
腾讯容器安全服务首推Apache Log4j2漏洞线上修复方案
腾讯云容器安全服务团队通过犀引擎发现较多镜像受ApacheLog4j2远程代码执行漏洞影响,存在较高风险! 1、漏洞描述 腾讯云容器安全服务团队注意到,12月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时 log4j2 2.15.0 5、漏洞修复建议 腾讯云容器安全团队建议用户使用腾讯容器安全服务(TCSS)对已使用镜像进行安全扫描,检测修复镜像漏洞,详细操作步骤如下: (1)登陆腾讯容器安全服务控制台 6、线上业务临时修复方案 如果漏洞镜像短时间内不方便逐个按照前文流程进行升级修复。可以按照这种方式,在不用修改镜像的情况下,临时修改线上业务的运行状态,达到暂时修复的效果。 关于腾讯容器安全服务(TCSS) 腾讯容器安全服务(Tencent Container SecurityService, TCSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成
1.2K60编辑于 2021-12-13 - 来自专栏网站漏洞修补
linux网站服务器安全加固设置方案
比如今天我一来,我发现我们这的运维小哥就拿一个朵玫瑰花直接插在服务器上,我当时给我吓一跳,然后嘴里还神神叨叨的念叨着一些东西,可能我也听不太懂,声音有点小,没听懂。 对于咱们 Linux系统来说,其实它的运维是运维,它的安全方面加固是方方面面的,这涉及到的东西有点多,安全加固牵扯到的安全因素和运维不是一回事。 首先是用户安全,其次是文件安全以及登录安全这三个首先要从这三个方面来进行考虑,然后再考虑咱们的业务,包括一些咱们的服务在考虑他们的性能。 然后咱们再加固的时候,刚才也说到了,考虑到用户安全,文件安全以及登录安全,最开始一定要从这三个方面来进行考虑。 主要是看看用户组有无guid为0的用户,如果除了root外有其他的用户guid为0那肯定是不对的,然后针对用户的登录SSH协议,进行端口限制,只允许放行白名单的IP进行操作,如果对Linux系统的安全加固有需求做到深入加固服务的可以向服务器安全服务商
3.3K50编辑于 2022-09-20 - 来自专栏卓文见识
APP端测试系列(2)——服务端安全
一、概述: 服务端安全主要涉及测试项如下,主要涉及安全策略、业务安全和系统组件安全。 ? 2)会话机制 包括会话超时、登录会话重放及安全退出问题; 3)验证码安全 若在登录、注册、找回密码、密码重置等功能处存在验证码,可测试是否存在验证码设计缺陷,验证码包含图片、短信、语音等形式,相关技术及测试项可参考 2、业务安全 业务安全问题和BS系统逻辑漏洞有很多类似之处,包含: 1)短信安全 短信是APP端频繁使用的功能,若存在此功能则需要测试:短信是否前端校验、前端返回、可复用、可修改返回包等验证码绕过办法 3、系统组件安全 在信息收集阶段需要获得APP服务端的相关信息包括:OS版本、服务(端口)、业务系统服务器等,较为常见的漏洞为命令执行漏洞,如:struts2命令执行、心脏出血、ImageMagick (CVE-2016-3714)等,可探测服务器端口、指纹等确定服务器类型及版本号。
2.4K11发布于 2019-10-10 - 来自专栏顶象技术业务安全专栏
《白皮书》:公共服务中人脸安全解决方案
《白皮书》就金融行业存在人脸安全风险进行了详细分析,并对在公共服务领域人脸安全的安全防护提出具体建议。 篡改传输报文:通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。 公共服务中的人脸安全隐患疫情常态化下,通过人脸识别或健康码识别,完成核验身份信息、人像的比对,查验健康码、核酸检测时效、行程以及体温等多项防疫信息数据,同时与智能通道闸机、门禁联动管控。 专为人脸识别定制的安全解决方案《人脸识别安全白皮书》展示了专业人脸识别系统安全的解决方案——顶象业务安全感知防御平台。 系统对人脸识别组成、人脸识别的潜在风险隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。
84210编辑于 2022-09-30 - 来自专栏绿盟科技研究通讯
安全多方计算:(2)隐私信息检索方案汇总分析
可搜索加密应用示例如图2所示,能够实现将用户的数据进行特殊的加密后上传到云服务器上, 并且可以实现根据关键字进行检索的功能。 三、3类场景隐私信息检索方案 为了加强保护用户查询隐私,使得查询条件和查询结果仅查询用户可知,安全多方计算中的PIR技术应运而生。 服务端用保留的n个RSA私钥,依次尝试解密s,获得n个解密结果,依次为{key1,key2,…,keyt,…,keyn}。 可以明显比对出前两类PIR方案在计算开销和网络开销上的差异。 五、总结 本文介绍了安全多方计算中很实用的一类方案——隐私信息检索方案,此类方案可在保护用户隐私的前提下,实现多方数据安全查询。 包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
6.2K50编辑于 2022-03-11 - 来自专栏落叶大大
服务器SSL不安全漏洞修复方案
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。 如何检测漏洞 可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。 这边列举主流的服务器的禁用方式 Nginx服务器: 注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议) apache2.X版本: SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite AESGCM: eNULL Tomcat服务器: JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 2012 根据图示进行选择,修改完成后重启服务器。
4.7K80发布于 2018-05-16 - 来自专栏安智客
IBM安全方案概览
学习了解大企业的安全方案有助于我们更清楚的认清现实! 所以先来学习下IBM对于安全的理解是怎么样的! 2,移动安全 保护设备- 部署和管理各种移动设备和漫游设备,比如企业拥有资产以及"自带设备 (BYOD)"。 安全的内容和协作- 支持在移动设备之间安全地共享文件和文档。 IBM 身份和访问管理解决方案可实现: · 保护移动、云和社交访问的安全。 · 预防高级内部威胁。 · 简化云集成和身份孤岛。 · 交付可操作的身份智能。 · 充分利用行业领先的测试功能,这些功能集成了大量 IBM 安全解决方案 一句话点评:大数据、云计算等等方面 6,高级欺诈防护 · 通过帮助检测活动威胁、分析风险因素和标记高风险交易,从根源上预防欺诈 · 通过即用型软件即服务 (SaaS) 解决方案提供快速部署,帮助在线应用和移动应用提供更快速的响应,从而降低运营影响。 · 通过上亿个终端,利用全球威胁情报服务动态适应各种保护层。
1.7K80发布于 2018-02-24 - 来自专栏云鼎实验室的专栏
安全情报 | Apache Tomcat HTTP2 拒绝服务漏洞
关注云鼎实验室,获取更多安全情报 ? 安全运营中心 赞赏 长按二维码向我转账 ? 受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
1.3K20发布于 2019-05-16 - 来自专栏开源 & 技术分享
Gin 安全篇-2: 快速实现服务端 JWT 验证
[up-8556599a46fe8d6c22463d812b857c669b1.png] 介绍 本文介绍如何通过 rk-boot 实现服务端 JWT 验证逻辑。 什么是 JWT? JSON 网络令牌是一种 Internet 标准,用于创建具有可选签名或可选加密的数据,让两方之间安全地表示声明。令牌使用私有秘密或公共/私有密钥进行签名。 简单来讲,就是通过 JWT 机制,让客户端通过一个密钥,把信息进行加密,添加到 HTTP 请求的 Header中,并传给服务端,服务端验证客户的合法性。 请参考 JWT 官网 [up-2ad358bfd16a5c67af98c62ba1fd2178dc7.png] 很多 SAAS 服务,都采用了 JWT 作为用户验证,例如 github 请访问如下地址获取完整教程 enabled: true # Optional, default: false signingKey: "my-secret" # Required 2.
1.1K20编辑于 2021-12-24 - 来自专栏全栈程序员必看
服务降级方案
降级后的处理方案有:默认值(比如库存服务挂了,返回默认现货)、兜底数据(比如广告挂了,返回提前准备好的一些静态页面)、缓存(之前暂存的一些缓存数据)。 比如扣减库存一般这样操作: 方案1: 1、扣减DB库存 2、扣减成功后更新Redis中的库存 方案2: 1、扣减Redis库存 2、同步扣减DB库存,如果扣减失败则回滚Redis库存; 前两种方案非常依赖 DB,假设此时DB性能跟不上则扣减库存就会遇到问题; 方案3: 1、扣减Redis库存 2、正常同步扣减DB库存,性能扛不住时降级为发送一条扣减DB库存的消息,然后异步进行DB库存扣减实现最终一致即可; 这种方式发送扣减DB库存消息也可能成为瓶颈;这种情况我们可以考虑方案4 方案4: 1、扣减Redis库存 2、正常同步扣减DB库存,性能扛不住时降级为写扣减DB库存消息到本机,然后本机通过异步进行DB 评价列表禁止10页之后的翻页 实时统计和报表禁用 强制必选查询条件中的路由或索引字段 领豆豆防刷降级为拼图验证 H5变PC页面 使用通用内容代替个性化推荐内容 降低安全级别
2.6K20编辑于 2022-09-05 - 来自专栏Java技术栈
JSON Web Token (JWT),服务端信息传输安全解决方案。
JWT介绍 JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑独立的基于JSON对象在各方之间安全地传输信息的方式。 JWT的应用场景 认证 这是使用JWT最常见的场景,一旦用户登录后,每个后续的请求都会包含JWT token,允许用户访问该token所允许的路由、服务、资源等。 标题的内容应该如下所示: Authorization: Bearer <token> 这是一个无状态的身份验证机制,因为用户状态永远不会保存在服务器内存中。 这使得完全可以依赖无状态的数据api,甚至向下游服务发出请求。哪个域名api服务并不重要,因为CORS攻击不会成为一个问题,因为它不使用cookie。 不需要在服务端保存会话信息,易于应用的扩展和安全等。 JWT的使用注意 不要在payload存放敏感信息,因为该部分是可解密的。 保存好secret私钥十分重要。
2.1K100发布于 2018-04-02 - 来自专栏Khan安全团队
微服务安全
当微服务收到(步骤 2)请求以及一些授权元数据(例如,最终用户上下文或请求的资源 ID)时,微服务对其进行分析(步骤 3)以生成访问控制策略决策,然后执行授权(步骤 4)。 访问控制规则使用 PAP 定义(步骤 1)并交付给集中式 PDP 以及需要实施该规则的属性(步骤 2)。 访问控制规则使用 PAP 定义(步骤 1)并交付给嵌入式 PDP 以及需要实施该规则的属性(步骤 2)。 授权方案应该是平台级方案;专门的团队(例如平台安全团队)必须负责授权解决方案的开发和运营,以及在开发团队之间共享实现授权的微服务蓝图/库/组件。 授权解决方案应基于广泛使用的解决方案,因为实施自定义解决方案具有以下缺点: 安全或工程团队必须构建和维护自定义解决方案; 有必要为系统架构中使用的每种语言构建和维护客户端库 SDK; 有必要对每个开发人员进行自定义授权服务
2.4K10编辑于 2022-01-14 - 来自专栏hml_知识记录
REST 服务安全
如果 REST 服务正在访问机密数据,应该对服务使用身份验证。如果需要为不同的用户提供不同级别的访问权限,还要指定端点所需的权限。 为 REST 服务设置身份验证可以对 IRIS REST 服务使用以下任何形式的身份验证: HTTP 身份验证标头 — 这是 REST 服务的推荐身份验证形式。 如果需要为不同的用户提供不同级别的访问权限,请执行以下操作来指定权限:修改规范类以指定使用 REST 服务或 REST 服务中的特定端点所需的权限;然后重新编译。 "termsOfService":"http://swagger.io/terms/", "x-ISC_RequiredResource":["resource1:read","resource2: allowed", "operationId":"addPet", "x-ISC_RequiredResource":["resource1:read","resource2:
1.3K10编辑于 2022-08-05 - 来自专栏用户7881870的专栏
网络服务安全-www安全
分为Web客户端和Web服务器程序。 WWW可以让Web客户端(常用浏览器)访问浏览Web服务器上的页面。 是一个由许多互相链接的超文本组成的系统,通过互联网访问。 第二步:打开虚拟机进入Windows server 2008 R2系统桌面。 第三步:在任务栏中点击“开始”,选择管理工具,点击Internet信息服务(IIS)管理器。 第四步:在Internet信息服务(IIS)管理器界面中点击“服务器证书”。 第五步:在“服务器证书”界面点击“创建自签名证书”。 第六步:证书名例如test,点击“确定”即可。 第七步:在Internet信息服务(IIS)管理器界面点击默认网站(Default web site),点击绑定。 第八步:在网站绑定界面中点击添加。
1.3K20发布于 2021-05-18 - 来自专栏数据安全观察
数据安全风险监测方案
此前原点安全针对通知做了分析解读; 在此次“金融机构数据安全管理自查要点”中,提及对于数据安全监测方面的具体要求:数据安全监测机制。 是否明确数据安全风险监测、风险评估、应急响应及报告,事件处置的组织架构和管理流程;是否开展对数据安全威胁的有效监测,并实施监督检查和主动评估,防止数据篡改、破坏、泄露、非法利用等安全事件。 基于原点安全一体化数据安全平台uDSP的敏感数据识别能力和一体化数据安全审计日志,提供全量洞察数据资产、全域追踪数据流转、全面感知数据风险能力,高效支撑数据风险处置、数据安全运营、数据安全合规内审、数据安全应急演练等活动 自动发现、识别API 站点、API服务及API端点,支持 RESTful、gRPC、J2EE HTTP API 等协议,深度解析 API 请求/响应结构,识别敏感数据类型并构建 实时更新的API 资产目录 内置数据安全运营指标实时看板,从数据安全管理范围、数据安全措施执行情况、数据安全合规风险处置情况等维度,以指标方式和报告形式进行集中呈现和定期总结,即时掌握数据安全态势,实现持续数据安全运营。
17510编辑于 2026-02-27 - 来自专栏音视频咖
新知 | 直播安全方案分享
这种方式在播放时,云端除了防盗链鉴权之外,还会向客户配置的token 验证服务发起校验,只有校验通过之后才允许播放。比如说我们要配置一个播放链接,一名用户只能播放一次。 根据CDM模块是否进行解密,解密是否需要TEE(硬件可信执行环境),可将WIDEVINE的安全级别划分为L1、L2和L3三个级别。其中L1级别的安全性最高,要求解密、解码、渲染均处在芯片的TEE中。 L2级只需要解密在TEE中完成。L1、L2都需要硬件参与,因此要使用WIDEVINE方案认可的芯片,终端要求比较高。L3级别相对于L1和L2级别来说,安全性比较低。 通过对L1、L2、L3的介绍,我们也可以发现:安全性越高,对终端设备的要求也就越高,兼容性相对也就越差。如果需要播放有版权的内容或者是版权方有明确的DRM要求,那推荐使用防盗链加行业DRM的方案。 在现实的互联网中,没有百分之百安全的方案,也没有百分之百适用于所有场景的方案。我们需要根据业务的实际需求来选择合适的安全方案,保障直播业务的安全稳定可靠运行。
2.3K20编辑于 2022-07-18 - 来自专栏数据D江湖
数据安全治理方案.PPT
公众号后台回复: 报告 获取源文件 欢迎添加本站微信:datajh (可上下滑动或点单个图片放大左右滑动查看)
2.1K10编辑于 2022-12-08 - 来自专栏函数式编程语言及工具
Akka-CQRS(15)- Http标准安全解决方案:OAuth2+JWT
服务方通过这个令牌来获取用户身份信息,也就是说服务端必须维护一个已经获得身份验证的用户信息清单。 也就是说服务端是可以直接对收到的JWT解密恢复用户信息,这样用起来就方便多了。还记着我们的POS例子里客户端必须构建一个指令,如:http://www.pos.com/logIn? shopid=1001&userid=234 这个Uri里的shopid是明码的,会造成很大安全风险。使用JWT后,我们可以把shopid,单号什么的都放在JWT里就安全多了。 header) + "." + base64UrlEncode(payload), secret) 我的目标是把一些用来辨识用户、权限以及状态信息加密存在JWT内发送给用户,用户在请求中提交他的JWT,服务端再解密并取出内部信息然后确定如何处理用户请求 想想还是要用签名,安全点。
64020发布于 2019-07-10 - 来自专栏用户8715145的专栏
主机安全设计方案 安全设计的原则
本文针对主机安全的风险以及主机安全设计方案的具体内容来介绍下。 主机安全设计方案 其实安全设计方案还是需要看本身的需求问题是什么。比如如果是服务器开发布网站,必然要开启iis ,漏洞就产生了。 主机安全设计的原则 主机安全设计的建设方案可以从两个原则出发来设计安全方案。 1、从自身的规模大小出发 企业的大小是设计安全方案的一个重要因素,大企业和小企业最大的区别是数据量的大小,大企业数据的运用更高一些,小企业的数据量小,所以相对设计方案不需要那么麻烦。 2、团队建设和开发团队 主机安全设计需要有一支高素养的研发团队,拥有数据运用的实力,也要有一些智能化的能力基础。如果缺乏专业技术,可以从场景化建设出发。围绕存在的不足做一些智能化改造,循序渐进。 主机安全设计方案的设计要根据企业的规模大小与建设的原则出发来实际情况实际分析出发设定方案,一定适合自身的条件。
1.2K10编辑于 2021-12-03 客户服务能力方案
客户服务能力方案 一、基础服务能力配置 维度 具体措施 团队规模 20人持证客户服务团队(含8名CFP认证专家)+ 5名英语/3名粤语双语坐席 服务形式 7×24小时全渠道响应(电话/在线客服/微信小程序 /银行端口接入) 时效承诺 ▶ 咨询类:30秒内响应(智能分流)▶ 投诉类:30分钟响应→24小时办结→72小时回访 智能覆盖 100%服务录音AI质检,每月输出《客户体验指数报告》 二、数字人民币营销专项服务机制 高频问题库 每日更新数币专属知识库(覆盖红包领取失败/消费立减规则/商户接入失败等12类场景) 客服人员考核通过率≥98%(2023年实测准确率98.7%) 闭环处理流程 2. 实现跨平台投诉协同处理(平均提速3.2倍) 合规风控能力 ✅ 内置数币反欺诈规则引擎 → 实时拦截套利行为(2023年减少损失¥380万) 资源扩展保障 ✅ 预备 20%弹性人力池 → 突发流量下服务水准不降级 数据穿透演示 大屏实时展示:数币营销工单处理看板(投诉关联活动规则/商户/用户标签) 闭环案例验证 播放 老年客群视频指导案例(从投诉到满意度提升至4.8星的全流程录像) 服务成本优势
23000编辑于 2025-06-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号