- 综合排序
- 最热优先
- 最新优先
- 来自专栏程序生涯
MySQL安全策略
内部操作安全策略 1. 是否回收DBA全部权限 试想,如果DBA没权限了,日常DB运维的活,以及紧急故障处理,该怎么实施呢? 2. MySQL层安全策略 业务帐号最多只可以通过内网远程登录,而不能通过公网远程连接。 增加运维平台账号,该账号允许从专用的管理平台服务器远程连接。 外网安全策略 事实上,操作系统安及应用安全要比数据库自身的安全策略更重要。 2. 应用安全建议 禁用web server的autoindex配置。 从制度层面,杜绝员工将代码上传到外部github上,因为很可能存在内部IP、账号密码泄露的风险,真的要上传必须先经过安全审核。 尽量不要在公网上使用开源的cms、blog、论坛等系统,除非做过代码安全审计,或者事先做好安全策略。
2.1K30发布于 2020-08-14 - 来自专栏黑伞安全
内容安全策略( CSP )
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。 一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。本文阐述如何恰当的构造这样的头部,并提供了一些例子。 示例:常见用例 这一部分提供了一些常用的安全策略方案示例。 多媒体文件仅允许从 media1.com 和 media2.com 加载(不允许从这些站点的子域名)。 可运行脚本仅允许来自于userscripts.example.com。
4K31发布于 2020-08-10 - 来自专栏FreeBuf
软件安全策略分享
安全策略清单 本文所说的安全策略,即系统采用的方式用于处理可能存在的安全风险。 我这边简单的梳理了一下,在考虑软件安全时需要考虑的几个方面的问题,图如下: ? 举个例子: alkaid登录账号alkaid,输入了密码password,程序验证通过,允许以alkaid账号执行相关业务 person2 不知道通过什么途径知道了,alkaid/password的认证信息 由于预置的时间属性,基本我们采用2中的复杂度方式。 如何来尽可能的保证的复杂度呢? 随机生成的符号组合。
1.8K10发布于 2020-02-20 - 来自专栏linux运维
安全策略问题:安全策略设置不当,影响系统安全性
检查当前安全策略首先,我们需要检查当前系统的安全策略配置。 常见的安全策略问题及解决方案2.1 密码策略不严格问题:密码策略不严格,可能导致弱密码被使用。解决方案:启用和配置严格的密码策略。 定期检查和更新安全策略定期检查和更新安全策略是非常重要的,以确保系统始终处于最佳的安全状态。3.1 定期检查建议:每周或每月检查一次安全策略,确保没有不必要的宽松策略。 3.2 更新策略建议:根据系统的变化和新的安全威胁,及时更新安全策略。4. 使用管理工具使用图形化或命令行的管理工具,如 fail2ban 或 ossec,可以帮助您更方便地管理和维护安全策略。 4.1 使用 fail2ban安装 fail2ban:sudo apt-get install fail2ban配置 fail2ban: 编辑 /etc/fail2ban/jail.conf 文件,启用和配置需要监控的服务
58110编辑于 2025-02-06 - 来自专栏何叶的专栏
服务器安全策略
希望每个服务器都不要被恶意入侵,安全策略只是其中的一道防线。 本篇文章仅代表个人观点,若有不足,欢迎补充。
3.4K10发布于 2021-08-24 - 来自专栏JVMGC
Java线程安全策略
线程安全策略 创建后状态不能被修改的对象叫做不可变对象. 不可变的对象天生就是线程安全的. 不可变对象的常量(变量)是在构造函数中创建的,既然它们的状态永远无法被改变,那么它们永远就是线程安全的。 class ImmutableExample1 { private final static Integer a=1; private final static Integer b=2; 2); //线程不安全 } } Collections java提供Collections工具类,在类中提供了多种不允许修改的方法。 3, 4); private final static ImmutableMap<Integer, Integer> map2 = ImmutableMap. main(String[] args) { System.out.println(map2.get(3)); } } [wx.jpg]
1K00发布于 2021-01-22 - 来自专栏luxixing
PHP代码安全策略
url不允许传入非http协议 用户身份验证使用令牌 token(csrf) http://htmlpurifier.org/ HTML Purifier 是开源的防范xss攻击的有效解决方案, 其他安全策略
1.4K30发布于 2019-05-29 - 来自专栏伪架构师
Kubernetes 中的 Pod 安全策略
PSP 环境下,运维人员或者新应用要接入集群,除了 RBAC 设置之外,还需要声明其工作范围所需的安全策略,并进行绑定,才能完成工作。
1.9K10发布于 2020-05-07 - 来自专栏Triciaの小世界
WEB攻击与安全策略
防范: 使用encodeURIComponent对url中的参数进行编码 2. console.log(res) return res } } } </script> // style 用于提供组件的样式 <style></style> CSP安全策略 CSP 指令,多个指令之间用英文分号分割;多个指令值用英文空格分割 Content-Security-Policy: default-src https://host1.com https://host2. // 错误写法,第二个指令将会被忽略 Content-Security-Policy: script-src https://host1.com; script-src https://host2. com // 正确写法如下 Content-Security-Policy: script-src https://host1.com https://host2.com // 通过report-uri
1.4K10编辑于 2023-04-12 - 来自专栏云技术+云运维
巧用WINDOWS IP安全策略
windows服务器的安全可以通过设定IP安全策略来得到一定的保护,对于每个Windows系统运维人员来说IP安全策略是必备的技能之一。 需求:机房内硬件防火墙还未到位,业务部门希望通过系统安全策略来限定有限IP对3389端口的访问 实现步骤: 1、打开本地安全策略: 开始-运行-输入secpol.msc或者开始-程序-管理工具- 本地安全策略 弹出来的窗口中,右击IP安全策略,在本地计算机创建IP安全策略: ? 2、创建一个新的IP安全策略,不要勾选“激活默认响应规则”和“编辑属性” ? ? 4、先建一个阻止所有的规则,阻止所有也就是阻止所有的端口及IP地址访问 ? 阻止任何IP地址 ? ip安全策略的导入方法: 开始 > 运行 > gpedit.msc 计算机配置 > windows 设置 > 安全设置 > IP安全策略 > 右键 > 所有任务 > 导入策略 ?
3.2K11发布于 2019-10-29 - 来自专栏Nicky's blog
Spring Security配置内容安全策略
Spring Security配置内容安全策略 1、什么是内容安全策略? 内容安全策略:Content Security Policy,简称CSP,内容安全策略是一种安全机制,开发着可以通过HTTP 响应标头,可显著减少现代浏览器中的 XSS、Clickjacking 等代码注入攻击 connect-src 'self' http://www.baidu.com http://127.0.0.1:8080 data:;font-src 'self';object-src 'self'; 2、 如果其它指令没设置,就用default-src的默认配置 script-src:为JavaScript一些脚本配置安全策略 object-src:这里一般指Flash或者一些Java插件等等 style-src header public void setResponseHeader(HttpServletRequest request,HttpServletResponse response) { //内容安全策略
2.2K20编辑于 2022-05-13 - 来自专栏信安之路
绕过内容安全策略总结
Content-Security-Policy: default-src 'self' trustedscripts.foo.com 意思就是默认的内容源必须为同源或者是 trustedscripts.foo.com 例子 2: 2、限制对不可信域的请求。 接下来的多种 Bypass 手段也是围绕这两种的 url 跳转 利用 url 跳转,回避严格的 CSP。 利用一些跨域传输的方法来引入 JS,导致执行 具体的可以看看呆子不开口的乌云大会 PPT http://pan.baidu.com/s/1pLCfCWr 和 0CTF2018 预选赛中的 h4xors.club2 https://lorexxar.cn/2018/04/10/0ctf2018-club2/ 利用文件上传执行 JS Content-Security-Policy: default-src 'self
2.6K10发布于 2018-08-08 - 来自专栏cmazxiaoma的架构师之路
Java线程安全策略总结-0
如果final变量是引用类型的变量,那么代表你不能去改变它的引用,一旦引用指向被初始化指向一个对象,就无法再把它改为指向另一个对象,但是可以改变这个变量所引用的对象的属性) 2.对象所有域都是final 2.两个在遍历方式的内部实现上有所不同。两者都使用了Iterator,而Hashtable由于历史原因,还使用了Enumeration。 3.哈希值的使用不同。 Hashtable中hash数组默认大小是11,扩容方式是2*old+1。而HashMap中hash数组默认大小是16,扩容后大小一定是2的指数。
53330发布于 2019-03-04 - 来自专栏DevOps
测试视角下的API安全策略
10来看,API的安全威胁并非全部技术漏洞,更多源自设计失误、测试缺失与权限配置不当:威胁编号名称测试视角下的解读API1:2023认证机制失效不恰当的token管理、会话固定、缺少过期控制等API2: 职责边界:协作安全专家而非替代测试人员不是渗透测试专家,但应: 理解常见API攻击向量 编写具备攻击模拟性的安全用例 配合安全团队使用扫描器/动态分析工具 审核开发是否遵循安全设计规范(如OAuth2正确使用 、JWT配置等) 四、从测试角度构建API安全策略的五大核心原则原则一:基于“攻击建模”的安全用例设计安全测试不应基于正常路径设计,而应模拟攻击路径,建议采用如下建模方式: 身份模型:测试是否存在身份模拟 使用修改后的JWT访问 /api/order/123五、测试团队如何落地API安全策略?
66230编辑于 2025-07-08 - 来自专栏IT民工的代码世界
SpringBoot-Web应用安全策略实现
String, Object> item : jsonObject.entrySet()) { String value = ConvertOp.convert2String boolean checkSQLInject(String value) { boolean flag = false; value = ConvertOp.convert2String "0123456789"; private final String sessionKey = "ValidateCode"; private int validDBIndex = 2; if(redisUtil.isValid(key,validDBIndex)){ String sessionCode = ConvertOp.convert2String
53430编辑于 2023-07-19 - 来自专栏sktj
实施linux安全策略与入侵检测
1、物理层安全策略 2、网络层安全策略 3、应用层安全策略 4、入侵检测系统配置 5、LINUX备份与安全 信息安全:保障数据完整性和可用性 软件安全:软件未被篡改 用户访问安全:用户经过认证和授权 网络安全 1、物理安全 -服务器采用双电源 -独立机柜 -机柜加锁 -操作完推出shell -异地容灾 2、网络层安全 -不需要外网的,不外网 -iptables配置 firewall
2.1K20编辑于 2022-05-19 - 来自专栏零域Blog
CSP(Content Security Policy 内容安全策略)
正式加入生产环境前可以先仅收集一段时间的不匹配规则日志,观察一段时间没有问题再上生产环境。或者仅仅作为监控异常行为来使用也可以!
2.9K40编辑于 2022-03-16 - 来自专栏Postgresql源码分析
linux安全策略对性能的影响
parameters are available to disable or fine-tune hardware vulnerability mitigations: for Spectre v1 and v2: nospectre_v1 (x86, PowerPC), nospectre_v2 (x86, PowerPC, S/390, ARM64), spectre_v2_user=off (x86) for 部分参数: noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier
1.2K10编辑于 2022-05-12 - 来自专栏用户7881870的专栏
组策略安全-设备限制安全策略
第二步:打开虚拟机Windows server 2008 R2,进入到系统桌面。 第三步:在任务栏中点击“开始”,找到“管理工具”后点击“组策略管理”,进入组策略管理界面。
97800发布于 2021-05-17 - 来自专栏腾讯玄武实验室的专栏
IE 沙箱拖拽安全策略解析
在本文中,笔者将以一个攻击者的视角,尝试各种途径来突破IE沙箱的这一安全策略,通过分析所遇到的障碍,达到对IE沙箱拖拽安全策略进行详细解析的目的。 Rights\DragDrop 如下图所示: DragDrop Policy值的含义如下: 0:目标窗口是无效的DropTarget,拒绝; 1:目标窗口是有效的DropTarget,但无法复制内容; 2: 当目标程序的Policy值为2时,向目标程序窗口拖拽文件,IE会弹出一个提示框,如下图所示: 0x02 Explorer进程的拖拽问题 在从IE往Explorer上拖拽文件时,虽然DragDrop Policy xxxMouseEventDirect 2、 通过SetCursorPos函数改变鼠标指针位置。SetCursorPos函数从用户态到内核态的函数调用关系如下: user32! 0x06 总结 本文详细解析了IE沙箱对于拖拽操作的安全策略,先后分析了IE沙箱的拖拽限制策略、Explorer进程在拖拽限制上存在的问题、ole32.dll实现拖拽的内部原理、IE在沙箱中实现拖拽操作的原理和
2.1K10发布于 2017-08-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号