- 综合排序
- 最热优先
- 最新优先
- 来自专栏clz
Web开发安全
Web 开发安全 参加字节跳动的青训营时写的笔记。这部分是刘宇晨老师讲的课。 1. 攻击 1.1 跨站脚本攻击(XSS) XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 (出自阮一峰的网络日志) 协议相同 域名相同 端口相同 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 2.2.2 CSP CSP(Content Security Policy):内容安全策略 决定好哪些源(域名)是安全的 来自安全源的脚本可以执行,否则直接报错 对于 eval / inline script 2.2.4 SameSite Cookie 避免用户信息被携带 下面的部分参考自Cookie 的 SameSite 属性 Cookie 的 SameSite 属性用来限制第三方 Cookie,从而减少安全风险
1.3K20编辑于 2023-01-02 - 来自专栏xdecode
开发安全规约
所有可以通过web端访问到的页面, 都需要考虑是否加上权限控制. 包括各类service & action. 1 long userID = ServiceUtils.getCurrentUserID(req); 2 if (!UserControl.getInstance().hasModulePrivilege(userID, FSConstants.MODULEID.SERVERCONFIG)) { 3 throw new NoPrivileg
93990发布于 2018-01-24 - 来自专栏简言之
Web安全工具开发
我们致力于打造一款安全高效、操作简单、界面清爽、兼容适配的安全工具。本项目的灵感来自于国光师傅的文章Django 编写 Web 漏洞扫描器挖坑记录。 就像国光师傅说的那样我们无论是开发还是安全都有很长的路要走,路漫漫其修远兮,吾将上下而求索! 团队成员 本项目由我担任组长,带领其余3人共同开发,因此代码风格会有不同,相关功能的实现深度也会参差不齐 ! Viggo大佬开发的Webstack项目,该项目是基于Bootstrap开发的纯前端页面,因此前端我沿用了Webstack 的风格并融合了Tabler UI 风格,并用 Django 写了后台管理,可在线对分类和条目进行管理 'xxx' # 你的邮箱账号 5.创建超级管理员 python manage.py createsuperuser 服务器部署 请参考:使用宝塔面板快速部署Django项目 TO DO 不论是开发还是安全感觉都有很长的路要走
1.8K30编辑于 2023-01-04 - 来自专栏LaravelCode
接口开发安全问题
接口开发安全问题 公司业务扩展需要,需对外提供接口给其他第三方系统使用。很多人说是系统并不安全,缺乏安全考虑。 上方一些内容来自微信开发文档 IP白名单,第三方需要联调需提供外网机器IP地址 说了这么多,本身也不确定此方案可不可行,但是应该也差不多吧。
83810发布于 2019-12-17 - 来自专栏向治洪
Android开发中的安全
根据Android四大框架来解说安全机制 代码安全 java不同于C/C++,java是解释性语言,存在代码被反编译的隐患; 默认混淆器为proguard,最新版本为4.7; proguard 、“shared”、“testkey”等,其中“media”证书用于多媒体、下载场景中;“platform”证书用于系统场景中;“shared”证书用于启动器、电话簿场景中;“testkey”证书用于开发场景中 jarsigner会提示输入密钥库的口令和证书别名的口令,全部输入后,即可完成签名 查看数字证书签名 #jarsigner -verify -verbose -certs demo.apk 网络安全 目前ksoap不支持WS-Security TCP层 SSL、TSL 数据链路层 WAPI 数据库安全 Android采用的SQLite目前采用明文存储数据;安全涉及加密、读写、搜索等。 分区层面 在系统运行时,最外层安全保护是由Linux系统提供的,其中system.img所在的分区是只读的,不允许用户写入,而data.img所在的分区是可读写的,用于存放用户数据。
1.1K90发布于 2018-02-02 - 来自专栏从运维安全到DevSecOps
ThinkPHP安全开发规范
首发于安全客:ThinkPHP安全开发规范 - 安全客,安全资讯平台 常见安全问题 目前ThinkPHP在国内中小型开发场景非常流行,但由于漏洞频发,主要集中在SQL注入、信息泄露(debug模式打开 另外由于ThinkPHP版本比较多,实际业务多用3.2.3或5.1,因此下面主要从这两个版本来介绍ThinkPHP开发过程中常见的安全问题。 关闭调试模式 无论是本地开发还是生产环境部署,都不建议直接通过修改配置文件的方式开启/关闭调试模式,而应该使用环境变量(本地开发可以通过定义.env文件)。 开启安全头部:更改session配置参数 及时升级安全版本 关注官方微信公众号或开发者周刊可及时了解 大版本 安全建议版本 3.2 3.2.4+ 5.1 5.1.25+ 业务逻辑安全 很多漏洞源于某个业务逻辑自身的安全隐患 参考 ThinkPHP从漏洞挖掘到安全防御 ThinkPHP3.2.3安全手册 ThinkPHP5.1安全手册 ThinkPHP5安全规范指引 开发PHP商城要注意的一些常见安全问题 CI框架安全过滤
2.2K40编辑于 2022-06-21 - 来自专栏一个番茄说
iOS 开发安全那些事儿
随着移动互联网的普及,被越来越多的心怀不轨的人觊觎,也越来越多的安全问题暴露了出来。开发者开发出来的应用被安装在设备上之后,用户并不具有专业的安全知识。 因此,开发者有义务为用户的安全保驾护航,能够为用户提供可信赖的服务才会被其青睐。 攻击者在暗,我们在明,我们不知道对方会使用怎样的方式威胁到应用的安全。 数据安全 我们的应用可能会在本地存储一系列的文件,包括用户数据,数据库文件,甚至在日益兴起的Hybrid开发或者是各种Patch方式中我们会下载的源码文件。 在这样的开发中,Mobile扮演的角色就是一个浏览器,因此在前端开发中常用的防护手段也在此使用,比如JS代码混淆、XSS防护、加密传输等。 作为开发工程师的我们虽然不需要具备很强的安全能力,但是我们需要了解一些基础的知识并具有一定的安全意识,尽可能地为我们的产品和用户负责。
88230发布于 2018-08-20 - 来自专栏区块链开发
DApp开发的安全设计
DApp(去中心化应用程序)的安全性是至关重要的,因为它直接关系到用户资金和数据的安全。由于 DApp 运行在区块链上,智能合约的代码一旦部署就难以更改,因此在开发过程中必须格外重视安全性。 以下是 DApp 开发中需要关注的主要安全方面。一、智能合约安全:智能合约是 DApp 的核心,任何漏洞都可能导致严重后果。 遵循最佳实践: 遵循智能合约和 Web 开发的安全最佳实践。四、依赖安全:DApp 通常会依赖各种第三方库和组件,这些依赖也可能存在安全风险。使用信誉良好的库: 选择经过广泛使用和审计的库。 总结:DApp 的安全性是一个复杂而重要的课题,需要开发者在整个开发生命周期中都保持高度的警惕。通过采取上述的安全措施,可以有效地降低 DApp 的安全风险,保护用户资金和数据安全。 记住,安全审计是必不可少的步骤,并且持续的安全监控和维护同样重要。在 Web3 的世界里,“代码即法律”,一旦部署到链上,修改的成本非常高,因此在开发阶段就要把安全问题放在首位。
33510编辑于 2024-12-27 - 来自专栏游戏安全攻防
浅谈软件安全开发
不同于一些其他非功能性要求,一般不能在之后才在系统中考虑到安全性。开发一个相对安全的项目离不开一个安全规则的指导,一个好用的开发工具,一套安全的编码规范。 下面就从开发安全规则、开发工具的安全利用,安全编码这三方面进行分析。降低软件中的漏洞,包括但不限于缓冲区溢出、边界外的数组访问、未初始化的内存使用、类型混淆等安全漏洞。 安全开发规则 一个好的安全开发指导规则,能够在开发软件过程中挖掘出漏洞的。这个好的安全规则首选推荐微软的SDL(安全开发生命周期)。下面就梳理下这个SDL的一些相对核心的理论基础。 SDL的一个主要目标:安全和隐私。 SDL在开发过程的所有阶段进行安全和隐私保护 安全开发生命周期 (SDL)由一组支持安全保证和合规性要求的实践组成。 软件安全和二进制漏洞是一个永恒的对抗话题,基于一套安全的开发规范,指导在开发安全生命周期内进行推进软件开发。并且加强开发中的安全意识的培养,又助于降低减少软件的漏洞的出现。
1.6K20编辑于 2022-12-18 - 来自专栏乌鸦安全
通过攻击看透安全开发、安全运维、安全防御
就拿木马举例,各种形式的木马,变相产生了各种杀毒软件,web安全狗,360安全卫士,火绒,windowsdefander,卡巴斯基,各种病毒专杀工具。 0x01 攻防发展剖析 首先,先来剖析传统互联网的信息安全防御体系。 在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。 云厂商平时云维护过程中必然会接触到你的数据和通过他网络节点的流量,再加上云厂商运维安全环境的严重不足,使得你的资产跟其他公司资产可以在云厂商云内网之间互相访问,这就导致网络安全风险的大批量增加。 每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
1.1K20编辑于 2022-08-11 - 来自专栏腾讯安全
腾讯安全发布《应用安全开发能力图谱》
1.png 腾讯应用安全开发能力图谱提出了六大能力:安全开发管理能力、安全开发需求能力、安全开发设计能力、安全开发编码能力、安全开发测试能力和安全开发成熟度评估能力。 安全开发管理能力是安全开发体系指路明灯; 安全开发需求能力是安全开发体系能够落地的关键因素; 安全开发设计能力是安全开发落地的重要动作; 安全开发编码能力是落地不二法门; 安全测试能力是持续迭代的重要保障 六大能力覆盖了应用安全开发生命周期的主要场景,在建设应用安全开发体系建设时具有较高的参考价值。 安全开发管理能力 开展应用开发安全体系建设,首先要建立一个合适的安全开发组织架构。 合理的安全组织架构是安全开发能够建设落地重要支撑,根据组织、人员和开发流程建立起合理的安全开发管理要求、安全开发环境、设定开发流程和安全控制点的无缝融合,做到全流程安全风险固化可视化,防止安全流程绕过。 安全开发编码能力 通过提供安全开发指引、制定安全编码规范、安全编译规范、提供公共安全组件对开发人员进行赋能,让其按照安全开发编码规范进行编码,并提供一套强有力的源代码安全检测系统,对源代码做滚动安全检查
3.3K51发布于 2020-07-11 - 来自专栏全栈程序员必看
Java开发手册之安全规约
【强制】禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。 【强制】表单、AJAX提交必须执行CSRF安全过滤。
76320编辑于 2022-08-04 - 来自专栏鸿蒙开发笔记
OpenHarmony开发——移植安全子系统
安全子系统提供网络设备连接、认证鉴权等功能,依赖mbedtls实现硬件随机数以及联网功能。由于每个厂商芯片硬件与实现硬件随机数的方式不同,需要适配硬件随机数接口。 entropy_poll.h” int mbedtls_hardware_poll( void *data,unsigned char *output, size_t len, size_t *olen ); 表1 安全子系统配置项配置项意义 说明:在添加安全子系统时,可直接通过配置feature来选择安全子系统特性。
38520编辑于 2024-08-03 - 来自专栏九霄道长
PHP开发api接口安全验证
写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证 ● 时间戳:当前时间 ● 随机数:随机生成的随机数 ● 口令:前后台开发时,一个双方都知道的标识,相当于暗号 ● 算法规则:商定好的运算规则,上面三个参数可以利用算法规则生成一个签名。
1.9K30发布于 2021-03-02 - 来自专栏韦东山嵌入式
Linux 安全开发指南
文章目录 Linux 安全开发指南 1 前言 1.1 文档简介 1.2 目标读者 1.3 适用范围 2 安全系统基础 2.1 安全系统介绍 2.2 密码学基础介绍 2.2.1 数据加密模型 2.2.2 本文从硬件安全、安全启动(Secure Boot)、安全系统(Secure OS)、安全应用的开发(TA/CA 开发指引)、固件密钥存储、安全系统在 Flash 上的加密保存几个方面进行介绍。 GlobalPlatform 是一个跨行业的国际标准组织, 致力于开发、制定并发布安全芯片的技术标准, 以促进多应用产业环境的管理及其安全、可互操作的业务部署。 TA/CA 开发详见 TA/CA 开发指引。 6 TA/CA 开发指引 6.1 开发环境目录结构 开发环境目位于 longan/tee_kit, 目录结构如下: 文件(夹) 说明 build.sh 编译脚本 dev_kit 编译依赖 (平台相关)
3.7K40编辑于 2023-02-25 - 来自专栏Java架构师必看
Java开发手册之安全规约
【强制】禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。 【强制】表单、AJAX提交必须执行CSRF安全过滤。
80620编辑于 2021-12-18 - 来自专栏我的安全视界观
【SDL最初实践】安全开发
01 — 安全目标 通过提供公共安全组件、制定安全开发规范、提供静态代码审计系统给业务方,从基础安全服务提供者、安全规范制定者和安全质量把关者角度出发,对开发进行赋能,想办法让其按照安全开发规范进行编码 1)安全开发规范 从隐私和安全角度两方面出发,结合当前发现的高危问题;参考业界的安全开发规范,融合公司当前的技术栈;站在开发视角,进行安全开发规范的编写。 03 — 安全实践 1)开发安全规范 ? 开发语言:随着技术的不断更新与发展,公司中必然会出现不同的开发语言,按照先cover住公司主流语言的思路,确定Java安全开发规范的编写工作。 别让开发花大量时间在修复漏洞上,解放他们,回归系统功能的开发与实现。 协作部门:单靠安全部门,在一般的公司难以做起来,尤其是缺少安全开发或开发能力不强的团队。 在安全开发阶段,安全开发规范需要优化,代码扫描系统也需要优化,覆盖率需要考虑,准确率也需要琢磨。
1.4K10发布于 2019-11-08 - 来自专栏start
Spring Boot Web应用开发:安全
在Web应用开发中,安全性是一个不可或缺的方面。Spring Boot通过集成Spring Security提供了一个强大的安全框架,可以帮助开发者保护应用免受常见安全威胁。 它是广泛使用的安全框架之一,提供了全面的安全解决方案,包括: 认证:确认某个用户是谁,通常通过用户名和密码实现。 授权:决定用户是否有权限执行某个操作。 Spring Security易于扩展,可以满足各种定制的安全需求。 方法级安全 方法级安全允许你在方法上应用安全注解,以控制对方法的访问。Spring Security提供了几个注解,如@PreAuthorize和@Secured。 Spring Security的集成使得在Spring Boot应用程序中添加安全性变得非常简单。它提供了一系列的默认配置,同时也允许开发者定制以满足特定的安全需求。
36710编辑于 2024-11-28 - 来自专栏开发经验记录
开发服务器安全加固
目的 防范因为主机没有加固,造成储存在开发服务器中的源代码和测试数据被黑客获取。 范围 本规范适合于开发服务器安全加固配置。 MYSQL 1. 下载位置 MySQL程序的下载,应该从MySQL官方提供的下载页面或者安全平台部第三方软件统一下载前台(建设中)下载。 安全配置 3.1 Mysql启动账户 首先必须要使用独立的受限账户启动Mysql,一般是系统中存用户名和用户组均为mysql的账户,同时把配置文件拷贝到/etc目录。 打开php.ini,安全加固配置方式如下,禁止使用这些危险函数: ? 在不使用 ssh的时候在腾讯云里的安全组里禁用 ssh端口
3.5K80发布于 2018-03-14 - 来自专栏前端小菜鸟
前端开发涉及的Web安全
前端开发涉及常见的Web安全漏洞有:浏览器Web安全,跨站脚本攻击(XSS),跨站请求伪装(CSRF),点击劫持,HTTP劫持,DNS劫持,文件上传漏洞等,以跨站脚本攻击漏洞最为常见,作为前端开发需要了解一些基本的 Web安全漏洞和相关的防御措施。 浏览器安全 同源策略 同源策略:是浏览器安全功能的基本措施,限制了来自不同源的脚本和document对当前对象的一些属性的获取或者设置。同源策略的影响因素:域名或者IP,子域名,端口,协议。 沙箱(SandBox) SandBox是提供一种设置访问内容范围的措施,确保沙箱内部的进程只能访问被分配的资源,不能访问未被分配的资源,从而对系统本身提供安全保护。 通过判断不同的操作系统,不同的浏览器以及版本信息,攻击者可以更精准的实施安全攻击。 XSS的防御: a. 前端输入输出进行检查,对于特殊字符进行过滤,转码等操作 b.
99820发布于 2019-10-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号