微信公众号 微信号|xiaobeisaq 长按二维码关注 官方微信 长按二维码关注 了解更多信息
一、简介 笔者最近在研究容器安全时读到一本关于讲述Kubernetes安全的书籍,作者为LizRice和Michael Hausenbla,两位分别来自美国容器安全厂商Aqua和云服务厂商AWS,并在容器安全研究领域上拥有丰富的软件开发...也有对应的安全基准,下载地址为: https://www.cisecurity.org/benchmark/kubernetes/ 渗透测试 作者推荐了Aqua公司的一款开源渗透工具Kube-Hunter...较为推荐的是哪一种?...「镜像版本控制」中,作者通过推荐了一篇文章(https://blog.container-solutions.com/image-management-mutability-in-docker-and-kubernetes...,故不推荐; 第二种方式由于可以通过Kubectl或docker命令行工具查询密码及密钥的内容,安全风险较高,故不推荐; 第三种方式较为推荐,因为Kubernetes支持通过挂载目录将Secret传递到
保持容器镜像安全的 两个方案 方案1:在镜像注册表中定期扫描 通过这种方式,我们需要为镜像注册表添加一个安全扫描程序,扫描程序可以是一个定时任务(Cron Job) 作业,也可以是由特定的人触发的可执行操作...如果我们能够尽早地发现任何安全问题或者漏洞,我们就可以在产品发布之前降低产品的安全风险。Pipeline 是确保每一行代码和基础运行环境的安全性是的最好方法之一,因为它可以在提交代码时自动执行。...对于漏洞数据库的更新,Clair 会定期从一组配置的源中获取漏洞元数据库(Vulnnerability Database),并将数据存储在其数据库中,只要不获取最新的漏洞元数据,每次执行都用之前的漏洞数据库...Trivy 和 Anchore Engine 则是每次运行都将下载最新的漏洞数据库并将其缓存在本地文件中,当扫描工具再次运行时,它将检查并更新数据库以保持数据库为最新状态。...总结 无论你在哪里,安全都是一个非常重要的问题。
发现一本不错的书籍,名叫《Build Your Own Database From Scratch》,也就是从零实现一个你自己的 SQL 数据库,书中有完整的代码演示,用 Go 语言实现。...实现磁盘 B+ 树 第一部分实际上是去构建一个基于磁盘的 KV 存储引擎,这里是使用的磁盘 B+ 树作为数据存储和组织的方式。...KV 之上的 SQL 数据库 第二部分,是在前面实现的 B+ 树 KV 存储引擎之上,去构建一个迷你的 SQL 数据库,当然支持的语法比较有限,只涉及到简单的一些 CRUD 的语法。...并且在 KV 之上支持了事务的特性,然后对数据表进行解析、存储,总体来说是一个比较完整的资料。...当然,唯一的缺点是这本书是英文的,没有中文版,但书中都是使用了一些专业性强的术语,并没有太多生僻的词句,理解起来应该不难。
•云计算安全也是一种专用的附加云计算服务,可确保云计算环境及其中存储的数据安全。介绍腾讯云主机安全服务功能特性支持混合云统一管理;自动发现未经审核资产及外网资产,帮助用户快速梳理资产风险全貌。...符合等级保护2.0标准体系主要标准;提供等保合规基线策略,支持基线检测项定期检测和一键检测并提供整改建议;帮助用户快速整改,满足等保合规要求。...支持对系统、服务器口令进行一键检测并提供专业处理建议,防止黑客猜解获取数据权限,系统收敛数据泄漏、丢失等风险。腾讯云主机安全服务场景示例1:图片如上所示:入侵检测高达三百多个告警!...网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。...提前部署安全防御购买腾讯云主机安全防护可以大大的提高安全性!图片上图所示:资产管理入侵检测漏洞安全安全基线高级防御安全运营云主机支持功能介绍:安全功能完善,并且购买三年还能享有五折优惠!
今天是世界读书日,腾讯安全联合微信读书、腾讯研究院,推荐了一份充电书单。...实验室掌门人的私藏书单 安全是一门武功,唯手熟尔;安全是一门哲学,需要思辨。安全是一个画家,以道驭术;安全是一个游戏,考验逻辑。 腾讯安全联合实验室的掌门人平时都在看哪些书?...推荐人:马劲松 腾讯安全反病毒实验室负责人 推荐书籍1:《Windows编程启示录》 推荐理由:这是一本关于Windows奇闻轶事、程序开发相关的散文集、杂记,讲述了很多有趣的故事和技术细节,比如开发人员会用哪些欺骗方法来获得驱动程序的...推荐书籍2:《伟大的中国工业革命》 推荐理由:书名一点都不过分!仅读一读前言,就能激发起强烈阅读兴趣。...推荐人:杨卿 腾讯安全天马实验室负责人 推荐书籍1:《黑客与画家》 推荐理由:推荐这本看似和网络安全技术无关的书,是因为它从独特视角引出了网络安全攻防对抗中重要的禀赋-创造力,希望能启发并促使大家独立思考
这是一份甲方安全开源项目清单,收集了一些比较优秀的安全开源项目,以帮助甲方安全从业人员构建企业安全能力。这些开源项目,每一个都在致力于解决一些安全问题。...项目收集的思路: 一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。另一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。...这个收集是一个长期的过程,我在GitHub创建了一个项目,专门用来收集一些优秀的甲方安全项目。...insight:洞察-宜信集应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的平台。...https://www.drools.org/ SIEM/SOC OSSIM:开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全,入侵检测和预防的工具
因此,如果用一句话来形容即将到来的这样一个双十一的话,笔者更多地认为,一边在改变,一边在失去,无疑是再合适不过的了。...由此,如果要寻找双十一的新改变的话,双十一将会彻底告别以往的简单粗暴,野蛮生长,从而可以真正进入到一个精耕细作的全新时代。 从流量主导转向留量为先。...以往,我们之所以会在双十一看到那么多的补贴,那么多的玩家,那么多的广告投放,其中一个很重要的原因在于,以往的双十一是流量为主导的。...这一点,我们可以从一些电商平台不再公布双十一相关的数据,看出一些端倪。 无论是私域运营的加速,还是平台与上游产业链的深度融合,我们都可以非常明显地看出,留量开始取代流量成为双十一的新战场。...找到双十一以及电商的新变化,或许才能真正了解和把握以往的发展新红利。 双十一,正在成就一个全新的电商 当双十一开始与以往的发展告别,我们完全可以有理由相信的是,一个全新的自己将会出现。
而盒马选择在这个时间开张新门店,除了想赶上十一假期的消费热潮,自然也在为一个月之后的双十一做预热。...打响生鲜双十一第一枪 现在的双十一已经不是电商平台的专属活动了,其他平台也想蹭一蹭这个狂欢消费节的热度。而距离今年的双十一已经剩下不到一个月的时间,各大平台开始摩拳擦掌,准备闪亮登场一展拳脚。...虽然生鲜到家这项业务并不是什么新业务,但是各大平台在今年双十一的表现如何也将会对日后的市场格局产生一定的影响。...于是盒马如今这样的大动作,自然是想赶在对手之前抢占先机,帮助自己在双十一大战之中增加更多的筹码。 但是盒马现在的经营模式能帮助其抢跑双十一吗?...专精VS多元 一个平台内的商品种类会在一定程度上决定平台的边界,生鲜到家平台也不例外。 其实可以将生鲜到家业务拆分成两个环节,一是类似于传统超市的挑选商品环节,二是配送到家环节。
---- 3 使用 3.1 常用脚本 项目中的python脚本提供用有用的渗透辅助功能,根目录下的pen.py为脚本入口,另外script目录下也有其他一些脚本。...gbk.txt pen.py file test.txt@utf8 -c gbk.txt@gbk # 文件转换,转换为utf-16-bom类型文件(jsp/aspx的utf-16-bom类型文件可绕过一些安全软件...mail.py -b -u @mail.txt -p @pass.txt 3.1.12 字典维护 script/wordlist.py提供了字典文件维护的功能,包括: 将多个字典文件merge到数据库中...对每个字典项进行打分计算 按照评分高低导出字典文件 例如: # 按照评分高低从数据库password.db中导出字典文件pass.txt,长度为100 wordlist.py -d pass.txt.../user-password/password/password.db -s 100 # 将字典文件test.txt merge 到数据库password.db中,重复项分值+1 wordlist.py
以下节选择《Netkiller Architect 手札》地址 http://www.netkiller.cn/architect/ 接下来几周的话题是数据库安全。 5.3....时间一致性 经常会因为每个服务器的时间不同,导致插入数据有问题,虽然可以采用ntp服务同步时间,但由于各种因素仍然会出问题,怎么解决?我建议以数据库时间为准。...00:00:00' COMMENT '修改时间', PRIMARY KEY (`id`) ) COLLATE='utf8_general_ci' ENGINE=InnoDB; MySQL不允许一个表拿有两个默认时间...我一无法兼顾修改时间,我们舍弃创建时间,当有数据变化ON UPDATE CURRENT_TIMESTAMP自动修改时间 CREATE TABLE `tdate` ( `id` INT(11) NOT...ctime) values(CURRENT_TIMESTAMP); 不要采用 insert into tdate(ctime) values('2013-12-02 08:20:06');这种方法,尽量让数据库处理时间
今天给大家推荐一个安全测试相关的开源项目:nccgroup/house 1、介绍 它是一个由 NCC Group 开发的,一个基于Frida和Python编写的动态运行时移动应用分析工具包,提供了基于...Frida 的 Web GUI 界面,旨在简化动态函数挂钩的过程,让研究人员能够更轻松地评估 Android 应用的安全性。...3、应用场景 移动应用渗透测试:检测潜在漏洞,如隐私泄露、不安全的网络通信等。 应用程序行为分析:监控文件操作、数据共享和其他敏感活动。 教育与研究:帮助学生和研究人员更好地理解移动应用的工作原理。...6、小结 综上所述,nccgroup/house是一个功能强大且灵活的移动应用动态分析工具,适用于各种场景,包括渗透测试、行为分析和学术研究。...通过 Frida 和 Python 的结合,它提供了一个高效且用户友好的分析平台。安装和配置简便,且具有丰富的特性和扩展性,使得研究人员和开发人员能够有效地探索和评估移动应用的安全性。
前言 今天向大家推荐一款代码依赖包漏洞检查maven插件--dependency-check-maven。...通过这个插件可以扫描出项目中是否依赖已经存在的安全漏洞包 如何使用 前置条件:该插件需要使用maven 3.1或更高版本 1、在项目pom引入dependency-check-maven插件 GAV...target目录,执行mvn dependency-check:check 注: 如果是idea,可以直接如下,右键运行 [06835ea6036a174644674c7a6f65f16f.png] 第一次执行的话...,他的速度会挺慢的,因为他需要从NIST托管的国家漏洞数据库下载漏洞数据到本地备份库。...dependency-check-maven插件来检查代码依赖包安全漏洞。
计算机系统的三类安全性: 技术安全:采用计算机硬件,软件安全技术来防护攻击。 管理安全:人员管理,系统管理方面的安全。 政策法律:你懂的。...数据库安全(基本等同于信息安全): 用户标识和鉴别(进不来):用户ID和口令来认证用户。...存取控制(拿不走,改不了),对用户限定操作权限: 自助存取控制:用户对不同的数据库对象有不同权限,不同用户对同一个对象也有不同权限。用户还可以传授权限。控制比较灵活。...强制存取控制:每个数据库对象被标以一定的密级,每个用户被授予某一个级别的许可证。只有许可证匹配密级的用户才可以存取。控制严格。...PS: 区分数据库完整性和安全性,完整性是为了防止数据库中出现不符合语义(不正确)的数据。安全性是保护数据库被恶意破坏,或者遭受某些灾难。
1、前言 前几天,我自己的项目myblog博客后台系统的MongoDB数据库被黑客删除了,新增了一个RREAD_ME_TO_RECOVER_YOUR_DATA的数据库,里面是一个叫做readme的collection...大概意思是你的数据库被我们删除了,你需要支付0.015比特币(约等于39262¥)来恢复你的数据,不然48小时后我们你的数据会被暴露,如果拒付你将面临巨额罚款。...当时我的数据库里面只有4张表,数据不太重要,由于需要在本地进行调试,因此没有设置密码。当时是在登录这个后台才发现被删除的,如果这种情况发生在公司,就会变得很可怕。...2、安全设置 2.1 开启authorization验证 2.1.1 第一步,开启权限验证 打开宝塔面板的MongoDB,进入配置文件 security: authorization: enabled...2.1.3 第三步,验证并重启MongoDB db.auth('cds', 'cds333') 2.2 阻止远程访问 设置bindIP:127.0.0.1 2.3 修改端口号 端口号需要在服务器的安全组或防火墙以及宝塔的防火墙里添加
针对传统的商业关系型数据库领域,能够提供更高的性能、通用性以及稳定性;提供不同的接口来处理复杂的SQL语句和满足不同的应用领域;可以应用在计费、电子商务、在线安全领域,几乎包括磁盘数据库的所有应用领域。...SQLite和C/S模式的数据库软件不同,它是进程内的数据库引擎,因此不存在数据库的客户端和服务器。使用SQLite一般只需要带上它的一个动态库,就可以享受它的全部功能。...简单化在一个数据库引擎中可以说是一个优点, 但也可能是个缺点, 主要决定于你想要做什么....如果你正在编写一个使用企业级数据库引擎的客户端程序, 使用一个允许你连接不同SQL数据库引擎的通用型数据库后台将是很有意义的....如果文件锁没有正常的工作, 就可能出现在同一时间两个或更多的客户端程序更改同一个数据库的同一部分, 从而导致数据库出错.
安全是多个环节层层防护、共同配合的结果。也就是说在安全领域不能仅仅依靠某一个环节完成所有的安全防护措施,对于数据库安全领域也是一样。...数据库领域的安全措施通常包括:身份识别和身份验证、自主访问控制和强制访问控制、安全传输、系统审计、数据库存储加密等。只有通过综合有关安全的各个环节,才能确保高度安全的系统。...中安威士数据库安全加固系统,简称VS-X,是在进行数据库审计的同时兼有防火墙实时阻断和数据库透明加密的综合系统。...高可用性 全面的数据库协议支持,支持包括国内外的主流数据库审计,如Oracle/MySQL等; 灵活的部署方式,支持旁路、直连、混合的部署方式; 完美的报表,提供各种审计和安全趋势分析; 支持多种算法的加密...高安全性 详尽的数据库审计,数据访问情况一目了然; 细颗粒度的访问控制,非法操作实时阻断; 核心数据的加密,大程度降低数据被窃取的风险。
首先放出一张小编一直在用的几个插件~ 0x00 前言 0x01 AuthMatrix AuthMatrix是一款用于检测越权漏洞的Burp Suite插件,设置好session就能进行自动化测试...Authz会先访问一遍接口抓包,然后“Send request(s) to Authz”,设置低权限的cookie,“Run”就会使用低权限的cookie去请求,结果会匹配给出相似度百分比,可以查看每个请求的详细...0x04 LFI scanner checks LFI scanner checks是国人为burp轻量级扫描器做的一个检测LFI漏洞插件。...s1riu5TheFloor就是一款联动burpsuite和sqlmap的插件。...0x07 BurpKit 插件BurpKit提供了双向JavaScript桥梁API,允许用户在同一时间迅速创建能够直接与DOM交互的BurpSuite插件,以及Burp的扩展API。
以前,我们一直想寻找安全靠谱的邮箱服务,Gmail 是首选,原因主要有几个: Google 这个大品牌的背书 安全确实做得很好,关于这点我们尤其在意前端安全是否做得足够,比如对抗 XSS/CSRF 的策略...另外在很多安全细节上很具备前瞻性,如:全域 HTTPS 策略、Cookie 策略、内容分离策略、账号风控策略、图片安全策略、恶意内容对抗策略、等等 漏洞奖金计划很良心,基本是这种风气的鼻祖 这次,我们推荐的...,这意味着,几乎完全一个匿名邮件是可以的 服务器坐落在瑞士,一个重视隐私且中立的国家,法律这方面很有保障,服务器的安全建设等级据说也很高 你可以选择是否开启更强的登陆日志记录,默认不会记录 IP 也有不错的漏洞奖金计划...我们这先不展开,因为我们计划去夺一轮漏洞奖金再说 支持 TOR 网络下的邮件服务,这下真可以做到完全匿名了。...我们这篇推荐不是在给 ProtonMail 做背书,是否使用,看你。 希望 ProtonMail 越来越好,也希望这个互联网越来越好。
简介VictoriaMetrics(简称 VM),是一个快速高效、经济并且可扩展的监控解决方案和时序数据库。...简言之,VM 是一个完全兼容 Prometheus 协议且性能比 Prometheus 更好的、面向监控分析的、更方便使用的时序数据库。VM 提供单机版和集群版。...使用过后一句话推荐理由:极易配置与运维。2....推荐理由2.1 可作为 Prometheus 远程存储我们知道,Prometheus 在大数据量和高并发查询下性能是有瓶颈的,为了解决这个问题,官方支持了20多种时序数据库作为其远端存储,最常用的比如:...2.10 夜莺也推荐近两年火热的夜莺监控,官网也默认推荐其作为后端存储库。没听过?一句话推荐语:比 Zabbix 更强!Open-Falcon 二代!Prometheus 企业版!3.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
