- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
软件安全性测试(连载6)
跨站请求伪造(Cross-Site Request Forgery:CSRF),也被称为 One-Click Attack 或者 Session Riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。与跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
84920发布于 2019-12-23 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
当你考虑到我们的软件供应链已经变得很复杂时,2021 年软件供应链攻击增加了 51%也就不足为奇了。 直到最近,安全供应商和从业者主要关注锁定软件组件。 交付管道和软件供应链安全 为了支持快速、迭代和高质量的部署,托管 VCS 和 CI/CD 管道已成为云原生组织的命脉。 采用 VCS 和 CI/CD 安全最佳实践将有助于保护软件开发和部署中涉及的组件、操作和过程。 但是,它们的默认配置并未考虑到安全性。再加上它们处于软件供应链的中心,这使得它们很容易成为黑客的目标。 为了保护他们的软件供应链,组织应该采取预防性的、纵深防御的方法来遵循 VCS 和 CI/CD 安全最佳实践,并利用策略即代码来随着时间的推移执行最佳实践。
94730编辑于 2022-12-29 终端安全管理软件是什么?6款终端安全管理软件分享,快来看看
在远程办公普及、终端设备激增的2025年,如何守住企业信息安全的“最后一公里”?答案,正是终端安全管理软件。一、什么是终端安全管理软件?为什么企业越来越离不开它? 二、6款终端安全管理软件1.域智盾软件上网行为审计软件能详细记录员工访问的网站、搜索关键词、聊天内容、邮件收发等网络活动,并生成可视化报表。 硬件和软件变化报警当终端设备的硬件(如更换硬盘、增加内存)或软件(如卸载杀毒软件、安装未知程序)发生变更时,系统会自动向管理员发送告警,避免员工私自改装设备或引入不安全软件。 6.Bitdefender GravityZone结合云沙箱、行为监控和补丁管理,GravityZone提供多层防护。 选择一款合适的终端安全管理软件,不是增加负担,而是为企业数字化转型铺就一条更安全的轨道。小编:莎莎
48510编辑于 2025-09-28- 来自专栏nginx遇上redis
软件安全知识
软件安全知识可以归成为七种(原则、方针 、规则、弱点、攻击程序、攻击模式和历史 风险),并划分为三个知识类(说明性知识 、诊断性知识和历史知识) 描述性知识:包括原则、方针和规则 原则和方针是从方法论的高度进行定义和描述 规则是从代码级角度进行有针对性地抽象和统一描述性知识类提供了一些建议,旨在说明该 做什么和在构建安全的软件时应该避免什么 历史知识包括历史风险,在有些情形下也包 括弱点的历史数据库这类知识还包括对在实际的软件开发中所发现的 特定问题的详细描述,以及该问题产生的影响 诊断性知识:包括攻击模式、攻击程序和弱点 攻击模式采用较抽象的形式来描述常见的攻击程序,这种形式能够应用于跨越多个系统的情形,即在多个系统中均存在的攻击模式,该知识可被安全分析人员所利用 攻击程序描述了弱点实例如何被用来对特定系统造成特别的安全危害 弱点知识是对真实系统中出现过并报告的软件弱点的描述诊断性知识不仅包括关于实践的描述性陈述,其更重要的目标是帮助操作人员识别和处理导致安全攻击的常见问题
73730编辑于 2023-02-10 软件架构 6 个方面
所谓 “架构”,就是将软件的结构打好,然后在结构内按部就班的施工就好了。软件架构 6 个方面软件架构涉及六个维度,分别是 “稳定性”、“高性能”、“一致性”、“扩展性”、“观察性” 和 “安全性”。 安全性,开源证书、安全漏洞、基线扫描。总结这个分类的细节随着认知理解的升级,还会有补充和调整,但是整体的结构应该差不多就是这样了。这也印证了 “架构是演化出来的,不是一蹴而就的。”
26710编辑于 2024-03-25- 来自专栏云云众生s
开源软件安全指南
此评估应包括对组件安全性的全面检查,并深入了解软件项目的整体运行状况,包括支持和推进项目开发的维护人员和贡献者的工作。 此外,了解 软件依赖关系 在管理软件供应链中与开源组件相关的风险方面至关重要。 软件物料清单 (SBOM) 也可以作为所用所有软件组件的综合清单发挥关键作用,从而能够更好地管理依赖关系和 安全漏洞。 让我们探讨有助于 OSS 软件组件的可靠性和安全性的基本要素。 通过了解这些因素,组织可以增强其有效管理相关风险和确保安全软件供应链的能力。 定义 OSS 安全性 随着开源软件现在支撑 全球大部分数字基础设施,安全性比以往任何时候都更加重要。 积极修补错误并推送 更新的社区为软件的持续安全性做出了重大贡献。 代码库安全性:检查代码库是否存在安全漏洞对于了解集成 OSS 的直接风险至关重要。这包括识别常见的安全问题和过时的组件。 将 OSS 安全集成到您的开发工作流中 采取稳健的安全措施不仅是一种最佳实践,而且是保护您的应用程序免受漏洞和恶意软件侵害的必要条件。
1.2K10编辑于 2024-05-10 - 来自专栏啄木鸟软件测试
软件性能测试(连载6)
负载为1表示当前单核CPU全部占用,如果一台机器有3个CPU,每个CPU都是双核的,这是负载最大值为1×2×3=6。
1.1K20发布于 2020-02-19 - 来自专栏why技术
火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件
Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统! 软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过。 01 对开源软件的致命打击 火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。 目前我们仍在继续对数据进行整理分析,据不完全统计,在 Github 上,共有60644个开源项目发布的321094软件包存在风险,影响众多主流开源基金会的著名项目。 关于火线安全 火线安全是基于社区的云安全公司,主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。
1.3K10编辑于 2021-12-17 - 来自专栏FreeBuf
软件安全策略分享
生命以负熵为食 —— 《生命是什么》薛定谔 背景 我想作为一个信息安全从业者,无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。 安全策略清单 本文所说的安全策略,即系统采用的方式用于处理可能存在的安全风险。 我这边简单的梳理了一下,在考虑软件安全时需要考虑的几个方面的问题,图如下: ? 身份认证策略、访问控制策略、会话管理策略这三个方面基本上属于整个软件安全的基石,如果这三个方面缺少了相应控制或者实现的大方向上存在问题,那么对于整个软件的影响极大,可能是颠覆性的需要推到重建。 同时如果出现相应的问题,软件修复起来极其头疼,完全可能出现修不完的情况,在投产的过程触犯了相应的法规造成的损失可能也极其巨大。 软件技术栈:白话一点的说法就是软件都用了什么技术。 当然有个后话,如何保证相关目录的安全、日志平台安全以及哪些数据需要隐藏又是我们需要继续考虑的问题。
1.8K10发布于 2020-02-20 - 来自专栏游戏安全攻防
浅谈软件安全开发
背景 安全性在软件开发过程中是一个极其重要和深刻的话题。当安全性受到损害时,会发生非常糟糕的事情。我们在软件开发生命周期的各个阶段都必须记住这一点。 它主要侧重于软件开发的安全保证过程。SDL致力于减少软件中漏洞的数量和严重性。 SDL的核心理念是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。 SDL 通过减少软件中漏洞的数量和严重性,同时降低开发成本,帮助开发人员构建更安全的软件。 ; 5、异常捕获是定时炸弹; 6、多用安全工具进行检查代码; 7、文件操作过程中要做好路径和权限管控。 软件安全和二进制漏洞是一个永恒的对抗话题,基于一套安全的开发规范,指导在开发安全生命周期内进行推进软件开发。并且加强开发中的安全意识的培养,又助于降低减少软件的漏洞的出现。
1.6K20编辑于 2022-12-18 - 来自专栏网络安全观
天融信软件定义安全SDsec
虚拟化技术大规模使用带来虚拟机之间的网络通信流量不可视、虚机迁移带来的边界动态变化,Overlay隧道封装等问题使得云数据中安全防护变得异常复杂。 基于零信任,微分段机制为用户每个虚机提供贴身防护,从根本上为用户解决当前云环境下存在的东西向流量安全问题。 ?
62010发布于 2021-02-25 《软件工程》第 6 章 - 软件设计概论
在软件工程中,需求分析完成后,软件设计是将抽象需求转化为可实现方案的关键阶段。它决定了软件的架构、模块组织和代码结构,对软件的质量、可维护性和扩展性起着决定性作用。 6.1 软件设计的概念 6.1.1 软件设计模型 软件设计模型是对软件系统结构、行为和接口的抽象描述,主要包括以下几类: 架构设计模型:定义系统的整体结构,如分层架构(表现层、业务逻辑层、数据访问层)、 String studentId) { // 模拟从数据库查询成绩 return 85.5; } } 6.2.3 信息隐藏 将模块内部的实现细节隐藏起来,只对外暴露必要的接口,提高模块的安全性和可维护性 6.3 软件设计的过程模型 6.3.1 软件设计中的活动 软件设计包含以下核心活动: 架构设计:确定系统的整体结构和组件划分,如选择分层架构还是微服务架构。 软件设计是软件工程中承上启下的关键阶段,其质量直接影响软件的最终效果。在实际项目中,应灵活运用这些原则和方法,结合项目特点选择合适的设计过程模型,打造高质量的软件系统。
24010编辑于 2026-01-21- 来自专栏啄木鸟软件测试
安全测试工具(连载6)
2.3 Pangolin Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。 Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。 1. 产品介绍 其特点如下。 l全面的数据库支持。 42 Pangolin信息显示界面 星云测试 http://www.teststars.cc 奇林软件 http://www.kylinpet.com 联合通测 http://www.quicktesting.net
91820发布于 2019-12-12 - 来自专栏uu的自留地
一个极简安全软件——火绒安全
火绒安全软件4.0,这是一款强悍、轻巧、干净,深度融合反病毒+主动防御+防火墙的PC安全软件。 建议是面向查杀能力要求低,防护能力要求中等的用户,对查杀能力要求较高的考虑360杀毒。 > 刘刚,前瑞星CTO,自2006年底开始领导瑞星研发部门,主持开发了2008、09、10三个版本的瑞星安全软件,并在国内首次策划、实施了"云安全"技术项目,目前"云安全"已经成为各大知名安全公司必备的病毒处理流程和商业标签 > 周军,前瑞星研发部的"安全软件内核研究与开发"团队负责人,曾负责瑞星安全软件的所有内核驱动模块的开发,2009年独自设计并组织开发了"分时虚拟机引擎"专利技术,目前负责"火绒实验室"的"安全内核技术研究 博主亲自体验了这款安全软件,觉得相比国内的各大安全软件轻巧、安全性也还不错。 …… 同时简便却不简单的设计使得这款安全软件可以应对我们大部分人的刚需,博主在学校电脑安装了这款安全软件,火绒也是不负我的期望,将学校电脑顽固的病毒一网打尽!
3.5K20编辑于 2022-03-03 - 来自专栏绿盟科技安全情报
Xbash恶意软件安全预警通告
该恶意软件主要针对Linux和Microsoft Windows服务器,结合了不同恶意软件的功能,如勒索软件,挖矿软件,僵尸网络和蠕虫,对目标展开攻击。 三、安全建议 服务器操作系统、各类业务信息系统的登录账号要使用复杂度高的口令,避免弱口令入侵; 及时更新Hadoop、Redis、ActiveMQ漏洞补丁或进行软件升级,避免漏洞利用入侵; 数据备份,在数据被破坏的情况下能够快速恢复业务 安装终端防护软件,防止终端设备被入侵。 部署边界防护设备,形成主动监测和防护能力,最大限度阻止恶意代码及入侵事件发生。 关注安全预警信息,提升企业安全防护能力。 返回信息为固定的 “0d 0a 32 0d 0a 6f 6b 0d 0a 30 0d 0a 0d 0a” 获取弱口令的通信特征:post数据返回信息以“---”字符串进行分割,获取数量为200个弱口令 END 作者:绿盟科技安全服务部 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。
1.1K10发布于 2019-10-24 - 来自专栏云计算运维
云原生软件的 6 个要求
云原生软件的要求 创建云原生应用架构需要哪些能力,开发人员将从中获得哪些好处? 安全: 在多云或混合云应用环境中部署和维护应用时,安全是最重要的,应该是环境的一部分。 DevOps/DevSecOps: 这些方法论是为持续部署到生产而设计的,与最小可行产品 (MVP) 一致,并将安全作为工具的一部分。
1.1K10发布于 2021-09-08 - 来自专栏不能显示专栏创建者
DevSecOps:解决附加软件安全难题
随着安全团队与开发人员的对抗,DevOps社区中缺乏标准的实践正在引起越来越大的摩擦。这种内部摩擦使他们开发的软件和使用该应用程序的组织容易受到攻击和破坏。 开源安全和许可证管理公司WhiteSource在9月30日发布的一份报告中探讨了导致孤立软件开发文化的各种因素,以及实现敏捷,成熟的DevSecOps实践需要采取哪些步骤-涉及将IT安全作为一项共享功能集成所有 该报告表明,软件开发团队面临越来越大的压力,他们忽视了安全功能以满足较短的开发生命周期。 鉴于有消息显示该发现尤其重要,该报告中接受调查的所有开发人员中,有一半以上表示他们没有安全的编码培训或只有年度活动。 除了缺乏软件编码人员的安全培训外,还发现少于三分之一的组织拥有已定义的,商定的漏洞优先级排序过程。
47000发布于 2020-12-14 - 来自专栏绿盟科技研究通讯
开源软件安全性分析
然而,在开源软件带来高效开发的同时,也带来了快速增长的软件漏洞的安全问题。对于那些有意破坏网络安全环境的人或组织而言,针对软件供应链的攻击是一个极具吸引力的切入点。 本文将从两方面出发,先对本年度的开源安全现状进行分析和说明,然后针对软件生态系统中存在的安全问题,总结了多种开源软件的安全研究动态。 二. OSS的安全策略是一套安全行动计划,表明开发者已对软件的安全性进行评估,并具备应对突发安全事件的能力。而调查结果表明,各组织未将软件安全作为优先考虑的事项。 40%的组织依赖项目社区来评估项目安全性,此时他们会通过社区提供的贡献者信息和维护方式来作为项目安全性的评价标志。36%的组织采用第三方工具帮助开发人员评审软件安全性。 开源组件的安全研究 本节总结了6篇与开源安全相关的论文,研究方向包括供应链生态分析、开源软件漏洞风险分析、开源软件应用风险分析和软件识别。
1.4K20编辑于 2023-02-22 - 来自专栏用户7881870的专栏
组策略安全-软件限制策略
软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。 软件限制策略可以帮助组织免遭恶意代码的攻击。 也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护 【实验步骤】 网络拓扑:server2008AD windows server 2008 用户:administrator 设置/软件限制策略),找到“指定的文件类型”右键点击属性。 第七步:选择安全级别,点击基本用户。 第八步:点击“设为默认”后点击确认即可。 第九步:测试,使用账户test登录,打开桌面上的login文件。弹框报错。
1.1K00发布于 2021-05-17 - 来自专栏FreeBuf
APP安全分析之打车软件
最近发现某款打车软件的APK非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。 第二个是:在主界面中,每次onResume中,调用一个私有类进行校验,如果校验不通过,则弹出“请卸载该软件后再使用~”的 提示。迫使点击确定的方式退出app。 首先我们来说第一个校验:本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要安全。但是so获取签名信息必须给底层传递context对象。 如果是盗版会弹出提示:“请卸载该软件后再使用”,这种防护更没有安全性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。
1.4K90发布于 2018-02-05
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号