- 综合排序
- 最热优先
- 最新优先
- 来自专栏卓文见识
APP端测试系列(2)——服务端安全
一、概述: 服务端安全主要涉及测试项如下,主要涉及安全策略、业务安全和系统组件安全。 ? 2)会话机制 包括会话超时、登录会话重放及安全退出问题; 3)验证码安全 若在登录、注册、找回密码、密码重置等功能处存在验证码,可测试是否存在验证码设计缺陷,验证码包含图片、短信、语音等形式,相关技术及测试项可参考 2、业务安全 业务安全问题和BS系统逻辑漏洞有很多类似之处,包含: 1)短信安全 短信是APP端频繁使用的功能,若存在此功能则需要测试:短信是否前端校验、前端返回、可复用、可修改返回包等验证码绕过办法 3、系统组件安全 在信息收集阶段需要获得APP服务端的相关信息包括:OS版本、服务(端口)、业务系统服务器等,较为常见的漏洞为命令执行漏洞,如:struts2命令执行、心脏出血、ImageMagick (CVE-2016-3714)等,可探测服务器端口、指纹等确定服务器类型及版本号。
2.4K11发布于 2019-10-10 - 来自专栏云鼎实验室的专栏
安全情报 | Apache Tomcat HTTP2 拒绝服务漏洞
关注云鼎实验室,获取更多安全情报 ? 安全运营中心 赞赏 长按二维码向我转账 ? 受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
1.3K20发布于 2019-05-16 - 来自专栏开源 & 技术分享
Gin 安全篇-2: 快速实现服务端 JWT 验证
[up-8556599a46fe8d6c22463d812b857c669b1.png] 介绍 本文介绍如何通过 rk-boot 实现服务端 JWT 验证逻辑。 什么是 JWT? JSON 网络令牌是一种 Internet 标准,用于创建具有可选签名或可选加密的数据,让两方之间安全地表示声明。令牌使用私有秘密或公共/私有密钥进行签名。 简单来讲,就是通过 JWT 机制,让客户端通过一个密钥,把信息进行加密,添加到 HTTP 请求的 Header中,并传给服务端,服务端验证客户的合法性。 请参考 JWT 官网 [up-2ad358bfd16a5c67af98c62ba1fd2178dc7.png] 很多 SAAS 服务,都采用了 JWT 作为用户验证,例如 github 请访问如下地址获取完整教程 enabled: true # Optional, default: false signingKey: "my-secret" # Required 2.
1.1K20编辑于 2021-12-24 - 来自专栏Khan安全团队
微服务安全
介绍¶ 微服务架构越来越多地用于在基于云的和本地基础设施、大规模应用程序和服务中设计和实现应用程序系统。在应用程序设计和实施阶段需要解决许多安全挑战。在设计阶段必须解决的基本安全要求是身份验证和授权。 当微服务收到(步骤 2)请求以及一些授权元数据(例如,最终用户上下文或请求的资源 ID)时,微服务对其进行分析(步骤 3)以生成访问控制策略决策,然后执行授权(步骤 4)。 访问控制规则使用 PAP 定义(步骤 1)并交付给集中式 PDP 以及需要实施该规则的属性(步骤 2)。 访问控制规则使用 PAP 定义(步骤 1)并交付给嵌入式 PDP 以及需要实施该规则的属性(步骤 2)。 EAS 从传入的请求中接收访问令牌(例如可能在 cookie、JWT、OAuth2 令牌中)。 EAS 解密访问令牌,解析外部实体身份并将其发送到签名的“Passport”结构中的内部服务。
2.4K10编辑于 2022-01-14 - 来自专栏hml_知识记录
REST 服务安全
如果 REST 服务正在访问机密数据,应该对服务使用身份验证。如果需要为不同的用户提供不同级别的访问权限,还要指定端点所需的权限。 为 REST 服务设置身份验证可以对 IRIS REST 服务使用以下任何形式的身份验证: HTTP 身份验证标头 — 这是 REST 服务的推荐身份验证形式。 如果需要为不同的用户提供不同级别的访问权限,请执行以下操作来指定权限:修改规范类以指定使用 REST 服务或 REST 服务中的特定端点所需的权限;然后重新编译。 "termsOfService":"http://swagger.io/terms/", "x-ISC_RequiredResource":["resource1:read","resource2: allowed", "operationId":"addPet", "x-ISC_RequiredResource":["resource1:read","resource2:
1.3K10编辑于 2022-08-05 - 来自专栏用户7881870的专栏
网络服务安全-www安全
分为Web客户端和Web服务器程序。 WWW可以让Web客户端(常用浏览器)访问浏览Web服务器上的页面。 是一个由许多互相链接的超文本组成的系统,通过互联网访问。 第二步:打开虚拟机进入Windows server 2008 R2系统桌面。 第三步:在任务栏中点击“开始”,选择管理工具,点击Internet信息服务(IIS)管理器。 第四步:在Internet信息服务(IIS)管理器界面中点击“服务器证书”。 第五步:在“服务器证书”界面点击“创建自签名证书”。 第六步:证书名例如test,点击“确定”即可。 第七步:在Internet信息服务(IIS)管理器界面点击默认网站(Default web site),点击绑定。 第八步:在网站绑定界面中点击添加。
1.3K20发布于 2021-05-18 - 来自专栏用户7881870的专栏
网络服务安全-IIS安全机制
像有编辑环境的界面(FRONTPAGE)、有全文检索功能的(INDEX SERVER)、有多媒体功能的(NET SHOW) 其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器 ,是在Windows NT Server上建立Internet服务器的基本组件。 它与Windows NT Server完全集成,允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet/Intranet站点。 IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输 、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事 【实验步骤】 网络拓扑:server2008-basic--win7 windows server 2008
1.3K10发布于 2021-05-18 - 来自专栏John Wong's Blog
Spring Boot Security 整合 OAuth2 设计安全API接口服务
本文重点讲解Spring Boot项目对OAuth2进行的实现,如果你对OAuth2不是很了解,你可以先理解 OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。 OAuth2概述 oauth2根据使用场景不同,分成了4种模式 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password Oauth2授权主要由两部分组成: Authorization server:认证服务 Resource server:资源服务 在实际项目中以上两个服务可以在一个服务器上,也可以分开部署。 Spring 0Auth2 己经设计好了数据库的表,且不可变。表及字段说明参照:Oauth2数据库表说明 。 configure(AuthorizationServerSecurityConfigurer security) throws Exception { /** * 配置oauth2服务跨域
1.3K10编辑于 2021-12-23 - 来自专栏安全加固
【安全加固】Apache Tomcat服务安全加固
2. (2)您的业务系统确实需要使用 Tomcat 管理后台进行业务代码的发布和管理,建议为 Tomcat 管理后台配置强口令,并修改默认 admin 用户,且密码长度不低于10位,必须包含大写字母、特殊符号 Tomcat 默认帐号安全 修改 Tomcat 安装目录 conf 下的 tomcat-user.xml 文件,重新设置复杂口令并保存文件。重启 Tomcat 服务后,新口令即生效。 5. 10、HTTP加密协议 使用HTTPS协议登录tomcat服务器管理页面。 (3)重新启动tomcat服务
3.7K20发布于 2021-01-11 - 来自专栏程序员果果
Spring Boot Security 整合 OAuth2 设计安全API接口服务
本文重点讲解Spring Boot项目对OAuth2进行的实现,如果你对OAuth2不是很了解,你可以先理解 OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。 OAuth2概述 oauth2根据使用场景不同,分成了4种模式 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password Oauth2授权主要由两部分组成: Authorization server:认证服务 Resource server:资源服务 在实际项目中以上两个服务可以在一个服务器上,也可以分开部署。 Spring 0Auth2 己经设计好了数据库的表,且不可变。表及字段说明参照:Oauth2数据库表说明 。 configure(AuthorizationServerSecurityConfigurer security) throws Exception { /** * 配置oauth2服务跨域
2.2K40发布于 2019-05-16 OAUTH2 的微服务安全-spring cloud快速入门教程
前言 公开由许多微服务组成的公共访问 API 时要考虑的最重要方面之一是安全性。Spring 有一些有趣的特性和框架,使我的微服务安全配置更容易。 在本文中,我将向您展示如何使用 Spring Cloud 和 Oauth2 在 API 网关后面提供令牌访问安全性。 这些是与 oauth2 相关的基本术语。 资源所有者- 处置对资源的访问 资源服务器——存储所有者资源的服务器,可以使用特殊令牌共享 授权服务器——管理密钥、令牌和其他临时资源访问代码的分配。 我有 API 网关 (Zuul),它将我的请求代理到授权服务器和两个帐户微服务实例。授权服务器是一种提供outh2安全机制的基础设施服务。我还有发现服务(Eureka),我所有的微服务都在其中注册。 网关 对于我的示例,我不会在 API 网关上提供任何安全性。它只需要将来自客户端的请求代理到授权服务器和帐户微服务。
94700编辑于 2025-04-05- 来自专栏Java技术栈
SpringCloud服务安全连接
Spring Cloud可以增加HTTP Basic认证来增加服务连接的安全性。 1、加入security启动器 在maven配置文件中加入Spring Boot的security启动器。 org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 这样,就开启对服务连接的安全保护 ,系统默认为生成一个用户名为"user"及一个随机密码,随机密码在服务启动的时候在日志中会打印出来。 2、自定义用户名密码 随机密码没什么实际意义,我们需要一个固定的连接用户名和密码。 在应用配置文件中加入以下配置即可。 1、注册中心安全连接 username:password@ipaddress 2、Feign申明式服务安全连接 @FeignClient(name = "SERVICE", configuration
86750发布于 2018-03-30 - 来自专栏Netkiller
微服务安全吗?
微服务安全吗? 微服务安全吗?其实存在很多隐患,常规的做法是将微服务置于私有局域网中,通过网关报漏服务。如果破坏者一旦进入了你的私有局域网中,微服务是及其危险的。 ? 配置中心的隐患 配置中心的安全隐患 配置中心有以下几种安全隐患 配置中心报漏在公网IP之下 配置中心没有做用户验证 配置文件中存在敏感信息 明文传输内容 配置有泄漏敏感信息的隐患,你的配置中心是不是也这样 Eureka Web 界面进入需要输入用户名和密码,HTTP2 SSL 加密传输页面内容。 Eureka Server/Config Server 类似 Eureka 客户端有以下几种安全隐患 服务报漏在公网IP之下,任何人都不经过 Eureka Server 和 Openfeign 绕开后直接访问服务 明文传输内容 最终总结 H5 / App ^ | HTTP2 ssl | V Openfeign <--- HTTP2 ssl ---> Eureka Server
1.1K20发布于 2020-09-18 - 来自专栏安智客
Google安全服务概述
Google 的主要安全服务包括: Google Play:Google Play 是一系列服务的总称。借助这些服务,用户可以通过自己的 Android 设备或网络发现、安装和购买应用。 此外,Google Play 还提供社区审核、应用许可验证、应用安全扫描以及其他安全服务。 Android 更新:Android 更新服务可为某些 Android 设备提供新功能和安全更新,其中包括通过网络或无线下载 (OTA) 方式提供的更新。 应用服务Application services 可让 Android 应用使用云功能的框架,例如应用数据和设置备份功能,以及用于推送消息的云端至设备消息传递功能 (C2DM:Cloud to Device 目前Android 提供了以下关键安全功能: 1,通过 Linux 内核在操作系统级别提供的强大安全功能 2,针对所有应用的强制性应用沙盒 3,安全的进程间通信 4,应用签名 5,应用定义的权限和用户授予的权限
1.7K60发布于 2018-02-24 - 来自专栏ffffffff0x
无服务安全指南
OWASP自2017年就提出了无服务器应用风险TOP10,下面将详细介绍其风险 --- OWASP Serverless top10 [2qq3ct5rkv.png] A1 注入 A2 失效的身份验证 所以,这依旧在OWASP无服务安全领域排行前十。但是,对于注入攻击的防护比以前的更加容易。在无服务出现之前,注入攻击几乎是相同的攻击流程。 [bgwqur3vwf.png] 文档内容如下: [19lbckqdv1.png] 成功触发弹框: [9h1e2n12h6.png] 八、不安全的反序列化 维度测评 攻击向量 Python、NodeJS 风险值:2分 拒绝钱包(DoW) 自动化的可伸缩性和可用性是使用无服务器的原因之一。这允许应用开发人员只为自己使用的部分付费,并将扩展应用的责任转移到基础设施提供商。 由于这种天然特性。 [l2fmywwz1o.png] 风险值:5分 不安全的共享空间 如果容器没有被销毁,那么无服务器的环境空间在调用之间是被共享的,这意味着,如果应用将一些数据写入用户空间(如:/tmp),并且在使用后没有手动删除这些数据
1.5K11发布于 2020-12-20 - 来自专栏python基础文章
网络安全——网络层安全协议(2)
一.IPSec体系结构 1.IPSec体系结构 IPSec(Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击 IPSec提供的安全服务包括访问控制、无连接的完整性、数据源头的认证、防重放功能、数据保密和一定的数据流保密等。 (1)安全体系结构。包含一般的概念、安全需求和定义IPSec的技术机制。 (2)ESP协议。加密IP数据包的默认值、头部格式以及与加密封装相关的其他条款。 (3)AH协议。 SA(安全关联))表示了策略实施的具体细节,包括源/目的地址、应用协议、SPI(安全策略索引)等;SAD为进入和外出包处理维持一个活动的SA列表;SPD决定了整个VPN的安全需求。 ---- 2. 一旦匹配成功,IPSec驱动程序通知IKE开始协商,图3-3为IPSec驱动程序服务示意图。 协商成功完成后,发送端IPSec驱动程序执行以下步骤。 (1)从IKE处获得SA和会话密钥。
90420编辑于 2023-10-15 - 来自专栏网络安全文章
信息安全技术 云计算服务安全指南
声明本文是学习GB-T 31167-2014 信息安全技术 云计算服务安全指南. 从已通过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;客户应开展云计算服务的运行监管活动,根据相关规定开展信息安全检查。 第三方评估机构。 对云服务商及其提供的云计算服务开展独立的安全评估。 5.4云计算服务安全管理基本要求采用云计算服务期间,客户和云服务商应遵守以下要求: 安全管理责任不变。 云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。 5.5.3选择服务商与部署在选择服务商与部署阶段,客户应根据安全需求和云计算服务的安全能力选择云服务商,与云服务商协商合同(包括服务水平协议、安全需求、保密要求等内容),完成数据和业务向云计算平台的部署或迁移
2.9K51编辑于 2023-01-08 - 来自专栏李浩东的博客
基于Spring Cloud Oauth2 JWT搭建微服务的安全认证中心
理解Oauth 2.0 Oauth协议为用户资源的授权提供了一个安全的、开放而又建议的标准。 还有就是自己公司需要提供接口给别的公司使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个方案 网上关于Oauth 2.0 的概念挺多的,建议大家去看下阮一峰的文章,很好理解 2.总的来说oauth2分为三个部分 配置资源服务 配置认证服务 配置spring security 我在前面已经讲过spring security的文章, spring security oauth2 ,一个订单查询接口,后续添加访问控制 2.配置授权认证服务器和资源服务器 这两个都是oauth2的核心配置,为了更好理解我都放在一个工程里面,后面在进行拆分 授权认证服务器 package com.li.oauthserver.config defaultTokenServices.setTokenStore(tokenStore()); return defaultTokenServices; } } 主要是对服务资源进行安全控制
16.4K73发布于 2019-06-26 - 来自专栏用户8715145的专栏
如何保障主机服务运行安全?主机服务安全的重要性
,因此每一家公司都特别注重主机服务器的安全性。 那么在使用过程当中如何保障主机服务运行安全呢? 如何保障主机服务运行安全 如何保障主机服务运行安全对一台电脑主机来说是非常重要的。 对服务器主机同样重要,要想保障主机服务运行安全,首先要给主机设置一系列规范的安全防护设置,比如安装一些网关防护系统或者系统自带的防火墙,都要进行高安全等级的设置,才能保障它的安全运行。 主机服务安全的重要性 如何保障主机服务运行安全是主机使用过程当中一个重要的课题,主机的安全直接影响着信息的安全,网络的安全以及使用过程当中的安全,因为互联网自从诞生以来,很多的信息都是在网络当中存储的, 以上就是如何保障主机服务运行安全的相关内容,对于电脑系统以及互联网平台公司来说,网络安全以及服务器主机安全都是非常重要的,应当进行专业的安全防护设置。
1.8K20编辑于 2021-12-30 - 来自专栏云头条
腾讯安全发布安全托管服务MSS,推动网络安全建设向服务驱动转变
为了应对数实融合趋势下的网络安全需求,2021年10月22日,腾讯安全发布了安全托管服务MSS,依托腾讯20多年的攻防实战经验和行业领先的情报感知能力,通过自研服务工作流编排系统,实现了服务过程的标准化 产业数字化驱动安全服务模式转变,安全托管助力企业安全建设“化繁为简” “依靠买硬件、买软件、堆人力的建设思路已经无法应对当今复杂的安全态势,企业的安全建设需要从产品驱动向服务驱动转变。” 基于腾讯安全托管服务MSS,数字广东在初期以红蓝攻防演练测试平台安全完善程度,重点时期负责安全值守与应急响应,最终取得重保期间0安全事件、0安全事故、0业务故障的成果,让全省70%政务系统运行无忧。 腾讯安全最新发布的托管服务MSS具备4大核心能力:基于攻击者视角下高强度防守对抗、KPI视角下的服务过程展示、攻防演练级的常态化运营分析、近实时的情报及威胁共享。 通过腾讯安全托管服务,企业日常安全工作复杂度极大降低,服务流程可查看、服务人员可管理、服务过程可跟踪,解决了传统安全建设中“过程不可见”和“结果不可控”的问题。
1.2K10编辑于 2022-03-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号