- 综合排序
- 最热优先
- 最新优先
- 来自专栏超级架构师
「应用安全」如何以代码的形式提供安全性:11个入门提示
您可以通过绘制如何更改代码和基础结构以及查找添加安全检查和测试和门的位置而不会引入不必要的成本或延迟来实现此目的。 - 吉姆伯德 那么您的团队如何超越概念转变为行动?这里有11个技巧可以帮助您入门。 如果代码变化太大,您可能会重新考虑如何应用SAST,因为当代码发生很大变化时会出现许多误报。 如果您的组织无法负担付费工具,请查看开源替代方案,例如OWASP依赖关系检查,以至少找到易受攻击的组件。 11.定期评估,冲洗并重复 进行SAMM评估会议以检查您实施安全性的完整程度,并创建特定的短期任务来实现此目标。一步一步是关键。 左移可以帮助你保持领先 向左移动的组织在发现缺陷方面更有效,修复它们的损失和成本低于开发人员部署应用程序时,或者在发布应用程序之后。 但快速交付的压力使设计的安全性变得更加困难。 /how-deliver-security-code-11-tips-get-started
88430发布于 2019-07-17 - 来自专栏超级架构师
「应用安全」应用安全原则
什么是应用程序安全原则? 应用程序安全性原则是理想的应用程序属性,行为,设计和实现实践的集合,旨在降低威胁实现的可能性,并在威胁实现时产生影响。 安全原则是与语言无关的,体系结构中立的原语,可以在大多数软件开发方法中用于设计和构建应用程序。 原则很重要,因为它们可以帮助我们在新的情况下使用相同的基本思想做出安全决策。 一些成熟的应用安全原则 深度应用防御(完全调解) 使用积极的安全模型(故障安全默认值,最小化攻击面) 安全失败 以最小特权运行 通过默默无闻来避免安全(开放式设计) 保持安全简单(可验证,机制经济) 检测入侵 (妥协录音) 不要信任基础设施 不要相信服务 建立安全默认值(心理可接受性) 应用安全原则 考虑设计一个简单的Web应用程序,允许用户向朋友发送电子邮件。 通过评估和解释每个原则,我们可以对此应用程序产生许多威胁,并最终得出一组保护要求。我们希望最终提供安全提供此服务所需内容的完整列表。
2.7K20发布于 2019-07-15 - 来自专栏顶象技术业务安全专栏
11月业务安全月报
11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰”IT军团“入侵俄罗斯中央银行导语:随着数字化的深入普及,业务愈加开放互联。 但随着互联网新技术新应用的快速发展,互联网跟帖评论服务也出现了许多新情况、新问题,需要适应形势发展变化进行修订完善。 全国首个《信息安全技术关键信息基础设施安全保护要求》发布11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB 国外安全热点以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备 该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响。
78050编辑于 2022-12-02 - 来自专栏Android 开发者
聚焦 Android 11: Android 11 应用兼容性
作者 / Android 产品经理 Diana Wong 在往期 #11WeeksOfAndroid 系列文章中我们介绍了 联系人和身份 、 隐私和安全 ,本期将聚焦 Android 11 兼容性 。 更轻松实现应用与 Android 11 兼容 在每次版本更新中,我们都希望尽量减少应用适配 Android 所需的工作。 请继续阅读,详细了解我们如何简化 Android 11 中的应用测试和调试流程。 适于测试平台变更的新工具 和往年的更新一样,Android 11 的一些平台变更可能会影响您的应用。 我们希望这些工具能帮助您更轻松地测试 Android 11 应用兼容情况。
2K10发布于 2020-10-16 - 来自专栏从ORACLE起航,领略精彩的IT技术。
Oracle 11g 安全加固
1.安全加固的检查方向 2.安全加固检查safeCheck.sh 3.安全加固执行safeExec.sh 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式 ,可以考虑删除scott账号 1.6.dba权限账户检查 select * from dba_role_privs where granted_role='DBA'; 1.7.数据库账户口令加密存储 11g 在$ORACLE_HOME/network/admin/sqlnet.ora中设置下面参数: SQLNET.EXPIRE_TIME=10 2.安全加固检查safeCheck.sh #! prompt =========================== prompt == 7.数据库账户口令加密存储 prompt =========================== prompt 11g =============== prompt 执行创建安全性校验函数的脚本 @?
68641编辑于 2023-08-24 - 来自专栏Android 开发者
聚焦 Android 11 : 隐私和安全
Android 安全工程主管 Sudhi Herle 上期 #11WeeksOfAndroid 系列文章中内容我们介绍了 联系人和身份,本期我们将聚焦 隐私和安全 。 Android 11 也持续在这些领域取得重要进展,本文中我们将分享有关 Android 隐私和安全的一系列更新和资源。 但首先,让我们快速浏览一下 Android 11 中那些最为重要的更新,用以保护用户隐私并提高平台的安全性。 Android 11 将为用户提供对敏感权限的更多控制权。 而 Android 11 为其添加了新的模块,同时保持了现有模块的安全属性。例如,可提供密码学原语的 Conscrypt 模块,在 Android 11 中同样能够通过 FIPS 验证。 感谢各位开发者在我们不断提高隐私性和安全性的过程中所展现的灵活变通能力,以及提供的有效反馈。您可以访问 Android 11 Beta 版开发者网站,了解更多功能。
1.7K30发布于 2020-10-16 - 来自专栏阿杜的世界
Web应用安全
二、认证与授权 Web容器进行认证与授权的过程: 客户端:浏览器向容器请求一个web资源发出请求; 服务端:容器接受到请求时,容器在“安全表”中查找URL(安全表存储在容器中,用于保存安全信息),如果在安全表中查找到 安全概念 谁负责? 耗时程度 认证 管理员 中 高 授权 部署人员 高 高 机密性 部署人员 低 低 数据完整性 部署人员 低 低 四、Spring-Security Spring Security是专注于为Java应用提供认证 clickjacking、cross site request forgery等等 支持与Servlet API集成 支持与Spring MVC集成,但不限于此 这里我从Spring Guides找到了一个在web应用中使用 HTTPS HTTP协议是基于TCP构建的应用层协议;HTTPS协议是基于SSL/TLS协议之上的应用层协议,而SSL/TLS是基于TCP构建的协议。
2.2K30发布于 2018-08-06 - 来自专栏腾讯云开发者社区头条
腾讯云11·11:千亿订单背后的安全“暗战”
腾讯云今年推出了 AI 安全战略,以大数据和 AI 的算法为驱动,构建应用于安全领域的包括社交图谱分析、图像自动识别、自然语言处理、知识表达推理等 AI 通用能力,形成智能身份鉴定、威胁情报分析、异常流量检测 、网络攻击溯源、人机行为识别、恶意图片识别、垃圾文本检测等 7 项技术应用。 CC 防护:大禹 BGP 高防通过模式识别、身份识别等多种手段,来识别恶意访问者,同时采用重认证、验证码、访问控制等手段,抵御 http get 等各类应用层攻击。 恶意竞争者和黑产从业者将无法通过应用层攻击威胁到客户的业务服务器。 写在最后 本文通过云端海量并发弹性扩容、AI 安全体系防御构建与实施、电商领域的创新应用三大板块介绍了腾讯云如何在双十一电商大促的情境下,为电商平台提供可用、高效、完善的安全护航方案。
7.1K41发布于 2017-11-13 Web安全应用
Web安全应用 任务环境说明: 服务器场景:match_win03-4-1(关闭链接) 服务器场景操作系统:Windows Server 2003 使用渗透机Kali Linux,访问靶机FTP服务,下载靶机网站中的部分源码并分析
10410编辑于 2025-10-23- 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全风险思考
,而Serverless的服务器托管云服务商的特点将导致开发者无法感知到服务器的存在,实际上开发者也无须对服务器进行操作,只需关注应用本身的安全即可,服务器的安全则交由云厂商管理,所以在我们也可以认为Serverless 的这一特征实际上降低了安全风险。 】微服务架构下API业务安全分析概述 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。 基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。 包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
2.9K33发布于 2021-08-06 - 来自专栏云服务器购买
移动应用安全-腾讯云移动应用安全APP加固
腾讯云移动应用安全提供稳定、有效的移动应用安全服务,为用户提供移动应用全生命周期的安全解决方案 腾讯云移动应用安全详情点击查看 移动应用安全 MS 的简介 移动应用安全(Mobile Security 稳定、简单、有效,让移动安全建设不再是一种负担。 腾讯云移动应用安全的产品特性 全面 提供移动应用(APP)全生命周期的安全解决方案,有效提升应用整体安全水平。 坚固 腾讯云应用加固在不改 Android 应用源代码的情况下,将针对应用各种安全缺陷的加固保护技术集成到应用 APK,从而提升应用的整体安全水平,力保应用不被盗版侵权。 安全测评为用户提供优质的移动应用安全检测服务的同时,确保用户的移动应用检测数据的安全。腾讯安全测评检测能力包括:代码安全风险检测、漏洞扫描,恶意代码扫描,以及敏感词检测等服务。 那么移动安全的重点就在于提出应用开发需求时,应同时对移动应用的安全诉求进行明确说明;以及应用验收时,对于移动应用安全和兼容性的把控。
11.7K40发布于 2019-08-06 - 来自专栏一个会写诗的程序员的博客
第11章 Spring Boot应用监控第11章 Spring Boot应用监控小结
第11章 Spring Boot应用监控 在实际的生产系统中,我们怎样知道我们的应用运行良好呢?我们往往需要对系统实际运行的情况(各种cpu,io,disk,db,业务功能等指标)进行监控运维。 本章主要介绍使用Actuator对Spring Boot应用指标进行监控,以及通过远程shell监控与管理我们的应用。 11.0 Actuator简介 Actuator是spring boot提供的对应用系统的自省和监控功能,Actuator对应用系统本身的自省功能,可以让我们方便快捷的实现线上运维监控的工作。 配置完毕,重启应用。 simple management.shell.auth.simple.user.name=user management.shell.auth.simple.user.password=123456 这个安全机制就是用的
1.7K30发布于 2018-08-20 - 来自专栏For XX - 专注于技术本身
Win10Win11关闭打开应用时弹出打开文件-安全警告弹框
Win10/Win11关闭打开应用时弹出"打开文件-安全警告"弹框 1.开始菜单搜索internet 选项 2.选择安全-自定义级别 3.勾选启用(不安全) 确认即可,再次打开应用就不会弹出安全警告框了
73.1K21编辑于 2022-06-10 - 来自专栏嘉为动态
微软安全公告—2016年11月
微软于北京时间2016年11月8日发布了14个新的安全公告,其中6个为严重等级,8个为重要等级。 ---- 2016年11月新的安全漏洞 以下是所有安全公告的内容,供您参考。 如果经本地身份验证的攻击者运行经特殊设计的应用程序,那么这些漏洞中最严重的漏洞可能允许远程执行代码。 攻击者随后可以通过本地执行用于操作 NTLM 密码更改请求的经特殊设计的应用程序来尝试提升。 如果攻击者运行经特殊设计的应用程序来访问敏感信息,此漏洞可能允许特权提升。已本地身份验证的攻击者可能会尝试通过运行经特殊设计的应用程序来利用此漏洞。
1.2K10发布于 2018-12-21 - 来自专栏鸿鹄实验室
国内外安全技术分享(2019年11月11日)
https://ijustwannared.team/2019/11/07/c2-over-rdp-virtual-channels/ 2、Bypassing AngularJS bind HTML ?
35820发布于 2021-04-15 - 来自专栏绿盟科技安全情报
【安全更新】微软11月安全更新多个产品高危漏洞
通告编号:NS-2020-0065 2020-11-11 TAG: 安全更新、Windows、Office、Exchange Server、Defender 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 北京时间11月11日,微软发布11月安全更新补丁,修复了112个安全问题,涉及Microsoft Windows、Microsoft Office、Microsoft Exchange 绿盟远程安全评估系统(RSAS)已具备微软此次补丁更新中大多数漏洞的检测能力(包括CVE-2020-17042、CVE-2020-17048、CVE-2020-17051、CVE-2020-17052、 SystemsWindows 10 Version 20H2 for x64-based Systems 4漏洞防护 4.1 补丁更新 目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁 右键点击Windows图标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
1.3K10发布于 2020-11-16 - 来自专栏啄木鸟软件测试
软件安全性测试(连载11)
"); } 5)使用安全WEB开发框架
2K20发布于 2020-02-10 - 来自专栏yuancao博客
云上应用安全
目录 课程介绍 1.WEB应用安全概述 web应用安全问题示例 web应用安全问题 OWASP十大安全漏洞列表(2017年) web组成部分及web安全分类 应用安全防护方法 应用安全防护工具 2. 通过阿里云WAF保护应用安全 什么是阿里云WAF? 关键业务欺诈场景 1.垃圾注册 2.登录撞库 3.营销作弊 通过阿里云WAF进行数据风控 风控原理 风控流程 课程介绍 1.WEB应用安全概述 web应用安全问题示例 ? web应用安全问题 ? OWASP十大安全漏洞列表(2017年) ? web组成部分及web安全分类 ? 应用安全防护方法 ? 应用安全防护工具 ? 阿里云WAF应用防火墙安全监测流程 ? 阿里云WAF接入方法 ? WAF的不同版本 ? 3.SQL注入及防护 什么是SQL注入攻击? ? SQL注入攻击的现象 ?
2.7K43发布于 2020-10-10 - 来自专栏游戏安全攻防
APP应用安全检测
背景 目前APP发包上架的流程前,免不了需要对APP应用安全检测这个重要且必不可少的步骤流程,APP应用安全检测大部分采用采购第三方的APP安全检测产品(因为这块技术基础储备),也有部分企业基于开源的移动安全框架 该框架可以进行高效迅速的移动应用安全分析。 它的下载地址为 https://github.com/ajinabraham/Mobile-Security-Framework-MobSF APP应用安全检测的风险程度一般分为:高危、中危、低危。 因为APP应用安全检测没做好,那么APP就会面临被通报、下架的风险,这对企业来说是个非常致命的问题,不仅影响到产品的发展、同样也给企业发展带来一定的风险。 下面就分析下APP应用安全检测(需要动态检测和静态检测相结合),具体的检测维度和检测思路。
4.2K30编辑于 2022-03-31 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(一)
一、概述 应用是云原生体系中最贴近用户和业务价值的部分,笔者在之前《云原生应用安全风险思考》一文中分析了云原生应用面临的风险,相信各位读者已经有所了解,本文为云原生应用安全防护系列的第一篇,主要针对传统应用安全 二、传统应用安全防护 从《云原生应用安全风险思考》一文中对传统应用风险的介绍,我们得知传统应用为云原生应用奠定了基石,因而笔者认为云原生应用安全防护也可参照传统应用安全防护,接下来笔者将为各位读者介绍传统应用的安全防护方法 2.4应用程序数据安全防护 笔者认为应用程序的数据安全防护应当覆盖安全编码、密钥管理、安全协议三方面。安全编码涉及敏感信息编码,密钥管理涉及密钥的存储与更换,安全协议涉及函数间数据的安全传输。 此外,一些开源项目可以帮助开发者避免敏感信息被硬编码至源码中,例如AWS的开源项目git-secrets[10]和Yelp的开源项目detect-secrets[11],各位读者可以参考。 bundler-audit [9]https://cwe.mitre.org/data/definitions/534.html [10]https://github.com/awslabs/git-secrets [11
2.5K12发布于 2021-09-27
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号