展开

关键词

安全摘记 | 互联网安全小兵的日常

于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 当然,不积跬步无以至千里,作为一个互联网安全小兵,还没上升到安全策略和方案的层次,我的日常还是与一个个漏洞为伴,就分“应急响应中心(SRC)”和“产品安全内测”两部分工作来说几点体会吧~ 一、应急响应中心 想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。

36290

互联网安全小案例

写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 ---- 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。例如,XMLHttpRequest 和 Fetch 遵循同源策略。 跨域的基本知识就说这么多,下面进入安全演练。 这个问题归类的话就是安全领域的一个大类“反序列化漏洞”。 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。

32640
  • 广告
    关闭

    什么是世界上最好的编程语言?丨云托管征文活动

    代金券、腾讯视频VIP、QQ音乐VIP、QB、公仔等奖励等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    浅谈互联网隐私安全

    似乎那时对匿名性的痴迷胜过了当今的美颜,在各种社交软件上以各种各样的目的侃侃而谈着不知从哪编造的各种经历。 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ? 拼车软件——优步、Lyft和其他零散的打车软件记录你的旅程。 长途旅行——你的航空和铁路行程被记录。 无人侦察机——“捕食者”无人侦察机监控美国边境的活动。 类似Square和Paypal这样的钱包软件追踪你的购买情况。 人脸识别——脸谱网能在他人上传的照片中辨认(标记)你的头像。照片的拍摄地点代表了你过去所处的位置。

    3.1K80

    互联网安全知多少

    image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 如此导致,没有事故其乐融融,一旦出事慌慌张张。 最近把道哥的《白帽子讲Web安全》重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。 黑名单是非常不好的设计思想 设计安全方案 -白帽子兵法 1 Secure By Default 原则 设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。

    49330

    软件安全策略分享

    生命以负熵为食 —— 《生命是什么》薛定谔 背景 我想作为一个信息安全从业者,无论是在渗透测试、代码审计亦或是其他安全服务中都会接触到各种各样的漏洞。 安全策略清单 本文所说的安全策略,即系统采用的方式用于处理可能存在的安全风险。 我这边简单的梳理了一下,在考虑软件安全时需要考虑的几个方面的问题,图如下: ? 身份认证策略、访问控制策略、会话管理策略这三个方面基本上属于整个软件安全的基石,如果这三个方面缺少了相应控制或者实现的大方向上存在问题,那么对于整个软件的影响极大,可能是颠覆性的需要推到重建。 同时如果出现相应的问题,软件修复起来极其头疼,完全可能出现修不完的情况,在投产的过程触犯了相应的法规造成的损失可能也极其巨大。 软件技术栈:白话一点的说法就是软件都用了什么技术。 敏感数据 敏感数据现在是属于法律法规领域最关注的一个点了,虽然互联网上的应用五花八门,但是所有这些虚拟身份的背后都是一个唯一的实体人。

    55610

    互联网软件缺陷规范

    软件测试岗位最重要的职责之一就是提交缺陷,而缺陷的描述尽显专业度,有经验的管理者从缺陷的描述就可以看出该测试人员的业务理解能力和测试技术水平。 软件缺陷(Defect)定义: 软件缺陷Defect,常常被叫做Bug,IEEE729-1983对缺陷有一个标准定义:从产品内部看,缺陷是软件产品开发或维护过程中存在的错误、毛病等各种问题;从产品外部看 软件缺陷的两个重要因素:严重性 & 优先级: 严重性: 软件缺陷对软件质量的破坏程度,即此缺陷的存在将对软件的功能和性能产生怎样的影响 软件缺陷严重性的判断应该从软件最终用户观点做出判断,考虑缺陷对用户使用造成的恶劣后果的严重性 优先级: 表示处理和修正软件缺陷的先后顺序的指标,即哪些缺陷需要优先修正 反应缺陷对产品/系统甚至市场的影响 通常由产品经理根据客户需求或项目优先级而定 关于缺陷严重性和优先级的定义,这里仅梳理了互联网产品软件

    62971

    互联网金融的信息安全(二)安全需求

    未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 在这过程中既要考虑安全又要考虑功能应用性各方面,其实在这个过程中开发的方法,或者说整个从开发到上线的这一套体系是一方面,更重要的是一个懂安全需求的产品经理站出来告诉研发你要这么做,告诉安全你应该考虑哪一块的风险 06增强客户隐私的安全性 法律和监管机构要求组织加强如何保护客户隐私信息的安全保障措施 07移动设备及BOYD的全局安全 流动性不确定性可丢失性等等这些都是将来移动办公的一个趋势,比如说现在有很多企业做了虚拟化 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全

    40620

    互联网架构』软件架构-软件系统设计(一)

    按照正常的互联网玩法,产品经理原型画好进行需求评审,评审完后,需要把需求丢给技术经理,或者技术负责人,进行一整套的概要设计,然后针对概要设计评审,概要评审后进行开发。 他感觉很神秘,这几年随着互联网产品越来越多,智能手机的普及,大家对软件的要求越来越严格了。很多之前的习惯的同事,现在都没转变过来,真是土,土的掉渣。后来其实也没太关注设计,可能就是之画个图。 瀑布流程(互联网直接忽略) 需求确定的基础上,系统设计的方方面面设计的都很全面,把每个阶段都有非常严格的验证条件,在主流的大型软件的开发方式。 基于原型,快速迭代(互联网常用) 许多创业公司的老板真心喜欢,感觉业务可以进行快速的开发,其实在里面还是有很多的坑在里面的。很少有人基于瀑布来开发。 打造闭环是最好的,对于很多互联网项目,可能不是刚需需求,可能不是成熟的商业模式,如果非要进行闭环,试错的机会都不给,开发的成本老板接受不了,老板无法快速推广到市场里面。

    38610

    天融信软件定义安全SDsec

    虚拟化技术大规模使用带来虚拟机之间的网络通信流量不可视、虚机迁移带来的边界动态变化,Overlay隧道封装等问题使得云数据中安全防护变得异常复杂。 基于零信任,微分段机制为用户每个虚机提供贴身防护,从根本上为用户解决当前云环境下存在的东西向流量安全问题。 ?

    8410

    互联网软件常见开发方法

    互联网软件常见开发方法 常见的软件开发方法 结构化法 C语言的开发方式就可以称为结构化开发方法,特点在于它是自顶向下、逐步分解,强调系统开发过程的整体性和全局性。 定义阶段 软件计划 需求分析 开发阶段 软件设计 程序编码 软件测试 维护阶段 运行维护 这种开发方法的优缺点很明显,它适用于那些需求明确的项目,对于不明确的项目很难适应,会造成过多的成本浪费,实际现在很多企业在基于瀑布模型的定义阶段增加原型来解决需求变更问题 中心思想在于:研发人员和测试人员需要同时工作,在软件做需求分析的同时就会有测试用例的跟踪,这样可以尽快找出程序错误和需求偏离,从而更高效的提高程序质量,最大可能的减少成本,同时满足用户的实际软件需求。 除非软件开发人员具有丰富的风险评估经验和这方面专门的知识,否则将出现真正的风险;当项目实际正在走向灾难时,开发人员可能还认为一切正常。 增量模型 ? 它是一种迭代和增量的软件交付方式,其目标是在最短实践交付最大价值的软件。 ? 基本原则 短平快的会议 小版本发布 较少的文档 自动化测试 测试驱动开发 持续集成 重构 Scrum ?

    86021

    工业互联网软件定义

    基于IT领域的软件定义基础架构,随着两化融合的加深和不断进步,现有的工业网络也提出了工业领域的软件定义基础架构。埃克森美孚公司在2014年正式提出工业领域开放系统安全和过程控制的下一代演变架构。 该论坛将重点研究开发基于标准的开放、安全、可互操作的流程控制架构。该论坛是一个基于共识的最终用户、系统集成商、供应商、学术界汇聚的标准组织。 促使埃克森美孚公司开始研究和开发控制系统替代品,下面的这些趋势正在促使和积累这种的技术变革正在成为可能: •航空电子设备使用开放系统 •电信网络中的实时虚拟化和软件定义网络(SDN) •IT/OT网络安全创新 基于软件定义的工业互联网平台将硬件基础架构资源和软件基础架构资源分离开来,并自动执行计算、网络和存储环境的配置流程,并且该平台提供开放接口导入工业互联网上的海量数据。 图 来自网络 基于软件定义的工业互联网架构能够通过工业全系统的互联互通实现工业数据的无缝集成,从生产系统的内部智能化改造升级和依托互联网的新模式推进工业互联网的发展。

    1.2K50

    互联网架构』软件架构-API接口安全网关《service变controller》(15)

    paramter json 业务参数 timestamp long 请求时间戳 实现技术: 实现技术: java servlet spring Ioc Json 转换工具的使用 接口安全的业务需求 接口安全级别分组 黑名单组 我的,账户信息 白名单组 商品展示,商品列表 3.黑白名单组 商品详情内的展示,已登录和未登录之间的区别 基于Token安全机制认证要求 登录鉴权 防止业务参数串改 fiddler

    45520

    一个极简安全软件——火绒安全

    火绒安全软件4.0,这是一款强悍、轻巧、干净,深度融合反病毒+主动防御+防火墙的PC安全软件。 建议是面向查杀能力要求低,防护能力要求中等的用户,对查杀能力要求较高的考虑360杀毒。 > 刘刚,前瑞星CTO,自2006年底开始领导瑞星研发部门,主持开发了2008、09、10三个版本的瑞星安全软件,并在国内首次策划、实施了"云安全"技术项目,目前"云安全"已经成为各大知名安全公司必备的病毒处理流程和商业标签 > 周军,前瑞星研发部的"安全软件内核研究与开发"团队负责人,曾负责瑞星安全软件的所有内核驱动模块的开发,2009年独自设计并组织开发了"分时虚拟机引擎"专利技术,目前负责"火绒实验室"的"安全内核技术研究 博主亲自体验了这款安全软件,觉得相比国内的各大安全软件轻巧、安全性也还不错。 …… 同时简便却不简单的设计使得这款安全软件可以应对我们大部分人的刚需,博主在学校电脑安装了这款安全软件,火绒也是不负我的期望,将学校电脑顽固的病毒一网打尽!

    10720

    DevSecOps:解决附加软件安全难题

    随着安全团队与开发人员的对抗,DevOps社区中缺乏标准的实践正在引起越来越大的摩擦。这种内部摩擦使他们开发的软件和使用该应用程序的组织容易受到攻击和破坏。 开源安全和许可证管理公司WhiteSource在9月30日发布的一份报告中探讨了导致孤立软件开发文化的各种因素,以及实现敏捷,成熟的DevSecOps实践需要采取哪些步骤-涉及将IT安全作为一项共享功能集成所有 该报告表明,软件开发团队面临越来越大的压力,他们忽视了安全功能以满足较短的开发生命周期。 鉴于有消息显示该发现尤其重要,该报告中接受调查的所有开发人员中,有一半以上表示他们没有安全的编码培训或只有年度活动。 除了缺乏软件编码人员的安全培训外,还发现少于三分之一的组织拥有已定义的,商定的漏洞优先级排序过程。

    14400

    Xbash恶意软件安全预警通告

    该恶意软件主要针对Linux和Microsoft Windows服务器,结合了不同恶意软件的功能,如勒索软件,挖矿软件,僵尸网络和蠕虫,对目标展开攻击。 三、安全建议 服务器操作系统、各类业务信息系统的登录账号要使用复杂度高的口令,避免弱口令入侵; 及时更新Hadoop、Redis、ActiveMQ漏洞补丁或进行软件升级,避免漏洞利用入侵; 数据备份,在数据被破坏的情况下能够快速恢复业务 安装终端防护软件,防止终端设备被入侵。 部署边界防护设备,形成主动监测和防护能力,最大限度阻止恶意代码及入侵事件发生。 关注安全预警信息,提升企业安全防护能力。 END 作者:绿盟科技安全服务部 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。

    28910

    如何做好软件安全测试?

    在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全? 这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终围绕“这个软件安全吗”。 什么是软件安全性测试 (1)什么是软件安全 软件安全属于软件领域里一个重要的子领域。在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出。 但是自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个前所未有的高度。 软件安全一般分为两个层次,即应用程序级别的安全性和操作系统级别的安全性。 常见的软件安全性缺陷和漏洞 软件安全有很多方面的内容,主要的安全问题是由软件本身的漏洞造成的,下面介绍常见的软件安全性缺陷和漏洞。 做好安全性测试的建议 许多软件安全测试经验告诉我们,做好软件安全性测试的必要条件是:一是充分了解软件安全漏洞,二是评估安全风险,三是拥有高效的软件安全测试技术和工具。

    3K71

    信息安全学习笔记——软件漏洞

    学习使用的书籍:《暗战亮剑——软件漏洞发掘与安全防范实践》 第一章 软件漏洞的分类: 1.缓冲区溢出漏洞 2.整数溢出漏洞 3.格式化字符串漏洞 4.指针覆盖漏洞 5.SQL注入漏洞 6.Bypass 漏洞(绕过漏洞) 7.信息泄漏漏洞 第二章 建立软件漏洞的发掘环境: 很多机器没有IIS,我们可以使用XAMPP来代替,可以从http://download.csdn.net/detail/bubujie 网站上下载,下载安装完成后,将你的网站程序文件放到XAMPP程序的安装目录下的htdocs文件目录下,在浏览器中输入网址“http://127.0.0.1/你网站程序的名字”,就可以访问了 第三章 文字处理软件的漏洞剖析  尽可能详细的阅读软件的使用说明书,了解软件的全部功能,发现软件使用过程中的限制问题。 第四章 远程服务型软件漏洞 明文分析-- WinSock Expert Acunetic Web Vulnerability Scanner 非明文分析—— WireShark FTP安全测试工具——

    34530

    APP安全分析之打车软件

    最近发现某款打车软件的APK非常的火,并听说他们进行了非常严密的防护,防止用户进行二次打包。今天我们来分析一下他的安全性到底如何。 第二个是:在主界面中,每次onResume中,调用一个私有类进行校验,如果校验不通过,则弹出“请卸载该软件后再使用~”的 提示。迫使点击确定的方式退出app。 首先我们来说第一个校验:本身使用so作为获取签名信息的地方相应的比在java中获取签名信息的方式要安全。但是so获取签名信息必须给底层传递context对象。 如果是盗版会弹出提示:“请卸载该软件后再使用”,这种防护更没有安全性可言了。我们只需要把这行代码注释或者删除掉。这个校验就没有任何的作用了。

    39590

    组策略安全-软件限制策略

    软件限制策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003 中的一项新功能。 软件限制策略可以帮助组织免遭恶意代码的攻击。 也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护 【实验步骤】 网络拓扑:server2008AD windows server 2008 用户:administrator 设置/软件限制策略),找到“指定的文件类型”右键点击属性。 第七步:选择安全级别,点击基本用户。 第八步:点击“设为默认”后点击确认即可。 第九步:测试,使用账户test登录,打开桌面上的login文件。弹框报错。

    18600

    相关产品

    • 软件定义边界

      软件定义边界

      软件定义边界(SDP)以零信任架构为核心,通过隐身网关与最小授权机制,实现快捷、安全的内网资源访问解决方案。SDP 依靠使应用“隐身”的特色功能,使黑客无法扫描,从而消除各种网络攻击风险;SDP 同时具备多因子身份认证,依托腾讯安全大数据快速评估,阻止高风险用户接入。

    相关资讯

    热门标签

    扫码关注腾讯云开发者

    领取腾讯云代金券