腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
文章
问答
(7142)
视频
沙龙
1
回答
Web应用安全投资回报如何、从何处开始?
penetration-test
、
code-review
、
risk-management
、
business-risk
、
threat-modeling
虽然存在大量漏洞、
威胁
及其相应
的
对策
,但Infosec Economics (特别是
针对
web应用程序)上
的
信息量似乎很少。
威胁
建模渗透试验实施
对策
反措施费用与违约费用
浏览 0
提问于2012-02-19
得票数 4
1
回答
脆弱性家庭
对策
的
分类
risk-management
、
threat-mitigation
、
countermeasure
我想知道你们中是否有人读过一些模型,这些模型将对一组
针对
一系列漏洞
的
可能
对策
进行分类。 例如,我所说
的
‘一系列漏洞’是指允许攻击者实现拒绝服务
的
漏洞。
针对
这些漏洞
的
对策
通常是相同
的
,或者至少在同一级别的
对策
中。当然,这需要一些抽象和概括,但我相信这是存在
的
,即使我还没有找到任何东西。这可以从很高
的
层次上表现出来,如:软件漏洞是通过这种
对策
解决
的
,
浏览 0
提问于2019-01-15
得票数 1
1
回答
在web应用程序和密码恢复中加密部分用户数据
encryption
、
web-application
我们可以假设,与永久存储
的
数据集相比,活动会话
的
数量较少。为了减少将所有敏感数据泄漏给访问数据库
的
攻击者
的
风险,我想对数据进行加密(非常类似于选项1 在这个问题上): 在用户注册期间,服务器生成用户密钥U (AES)。问题1:该方案中是否存在明显
的
安全漏洞(除了攻击者可以
浏览 0
提问于2015-08-11
得票数 7
回答已采纳
1
回答
从外键获得N:M关联
javascript
、
sql
、
postgresql
、
rest
、
sequelize.js
我有一个模式,其中我有一个资产,它有许多
威胁
,每个
威胁
都有许多
对策
。我想要做
的
是给出一个资产
的
id,以获取该资产
的
威胁
列表,以及每个
威胁
的
应对措施。我怎样才能做到这一点?我不认为我
的
代码会提供任何帮助,但无论如何,你还是要这样做:Threat.belongsToManycounte
浏览 2
提问于2020-11-15
得票数 0
回答已采纳
1
回答
如何在JSON响应中包含一个神奇
的
前缀来防止XSSI攻击?
api
、
json
、
xssi
在开发一个使用REST进行Gerrit
的
项目时,我注意到他们做了一些我认为奇怪
的
来源:)]}'以看似随机
的
字符作为响应体
的
前缀是如何防止XSSI
的
?
浏览 0
提问于2016-01-13
得票数 19
回答已采纳
4
回答
上传
带来
的
安全
威胁
php
、
upload
我允许用户上传文件到我
的
服务器。我可能面临哪些安全
威胁
,如何消除它们? 假设我允许用户从他们
的
系统或网络将图像上传到我
的
服务器。现在,为了检查这些图像
的
大小,我必须将它们存储在我
的
/tmp文件夹中。另外,假设我正在使用wget从用户在我
的
表单中上传
的
链接下载图像。首先,我必须将这些文件保存在我
的
服务器中,以检查它们是否真的是图像。另外,如果恶作剧者给了我一个URL,而我最终下载了一个充满恶意软件
的
整个网站,
浏览 4
提问于2012-06-16
得票数 21
回答已采纳
1
回答
为什么对付控制流劫持攻击
的
对策
大多在软件中实现?
hardware
、
buffer-overflow
、
countermeasure
我想知道为什么
针对
代码注入和控制流劫持攻击(例如基于堆栈
的
缓冲区溢出和基于堆
的
缓冲区溢出)
的
对策
大多在软件中实现。流行和广泛采用
的
反措施
的
例子如下: 但是,为什么这些
对策
没有在硬件上完全实现,或者至少没有得到硬件
的
支持?由于现在可重构硬件(例如FPGA)是负担得起
的
,这种方法在我看来是完全可能
的
。 还是存在基于硬件
的
对策</em
浏览 0
提问于2014-05-30
得票数 4
2
回答
针对
DNS反射攻击
的
对策
domain-name-system
、
iptables
、
port
、
ddos
、
udp
我目前正经历DNS反射攻击我
的
服务器。我通过UDP从端口53获得了大量
的
答案,而我
的
服务器从来没有这样要求过:所以我考虑
的
对策
是限制源端口为53
的
传入数据包
的
数量。iptables应该没问题,对吧?-m udp --运动53 -m限制-限制10/min -j日志-日志前缀"53拒绝“--日志--日志-第7级udp
浏览 0
提问于2013-01-31
得票数 0
回答已采纳
3
回答
我应该采取什么措施来保护我
的
多层ASP.NET应用程序?
asp.net
、
security
我想找出
的
所有潜在
威胁
,应用在现实生活中将面临
的
,并计划相应
的
对策
。一些细节: 目标数据库是MS SQL Server
浏览 8
提问于2009-05-28
得票数 4
回答已采纳
1
回答
在遵循ASVS标准后,我们需要进行
威胁
建模吗?
threat-modeling
、
security-by-design
、
asvs
我们计划在我们
的
组织中制定指导方针,让每个人都遵循安全
的
软件开发生命周期。作为其中
的
一部分,我们计划采用基于ASVS标准
的
安全知识框架(SKF)来确定安全需求。通过指定成熟度级别和选择正确
的
类别,该框架将数百个检查点降到少数几个安全需求,然后团队就可以实现这些需求。 在采用ASVS标准之后,我们需要进行
威胁
建模吗?如果是的话,假设通过ASVS检查表确定
的
安全要求涵盖了可能
的
威胁
,那么它会增加什么价值?
浏览 0
提问于2021-12-16
得票数 1
1
回答
安全专业人员如何衡量他们
的
成功?
career
安全专业人员如何衡量他们
的
成功,以及他们如何向组织中
的
其他人传达这一点? 在我看来,如果没有发生安全事故,那么要么安全小组做得很好,一开始就没有
威胁
,要么只是时间问题,事件才会发生。看起来,处于安全状态
的
员工处于一种亏损
的
境地:当形势好
的
时候,他们不得不证明自己
的
存在是正当
的
,或者解释为什么在事情出错时,他们以合理
的
标准履行自己
的
职责。真的是这样吗?
浏览 0
提问于2018-07-23
得票数 7
回答已采纳
1
回答
错误MSB8040:此项目需要减少频谱
的
库。
c++
、
visual-studio-2019
、
wdk
我有一个我无法解决
的
问题。;}
浏览 1
提问于2019-12-25
得票数 3
回答已采纳
7
回答
致敬大师:如何看待霍金对
人工智能
的
担忧?
人工智能
著名
的
物理学家霍金去世了,享年76岁。对于这位伟人最后
的
警告,大家是如何看待
的
?
人工智能
真的如他预言所说
的
具有危险性,还是他真的只是多虑了?
浏览 1001
提问于2018-03-15
1
回答
针对
关键克隆
的
对策
是什么?
wireless
我已经研究了克隆315 the和433 the 遥控车钥匙
的
技术,我想知道对无线无线电密钥锁可以提供什么
对策
?因为无线电信号似乎并不是唯一
的
,并且有任何种类
的
令牌或加密。
浏览 0
提问于2019-01-28
得票数 3
回答已采纳
1
回答
OAuth 2.0是如何防止被破坏
的
帐户
的
?
security
、
oauth
、
oauth-2.0
我正在为我
的
API实现OAuth 2.0,我开始想知道是否存在妥协
的
帐户。我们打电话给我
的
服务A和客户服务B。设想情况: 用户更改密码,以保护帐户。如果发生了这种情况,攻击者是否仍然能够通过B查看用户
的
私有信息,因为OAuth访问令牌不会在密码重置时过期?
浏览 1
提问于2016-05-23
得票数 1
回答已采纳
2
回答
恶意安卓WebView是否破坏了
针对
CSRF
的
DoubleSubmittCookie
对策
?
mobile
、
android
、
csrf
、
web-service
、
rest
问题/安全
威胁
:到目前为止,我还不知道如何阻止攻击者创建和发布这样
的
恶意移动应用程序,以及
浏览 0
提问于2013-10-13
得票数 1
回答已采纳
2
回答
对原始文件大小
的
了解是否提供了加密方面的弱点?
aes
、
hmac
、
sha-256
我使用AES-256 CBC密码和文件中每64 in
的
SHA-256 HMAC加密文件。由于AES CBC需要一定数量
的
输入字节才能被16整除,所以我使用PKCS#7填充将字节数量提高到文件末尾可被16整除
的
计数。对于这种情况和大多数情况下
的
加密,原始文件大小
的
知识是否暴露了使攻击者在解密数据方面获得优势
的
弱点?如果有人知道加密系统
的
工作方式,那么他们猜测原始文件大小可能是可行
的
。这有问题吗?
浏览 0
提问于2013-05-09
得票数 3
回答已采纳
3
回答
是否有令人信服
的
理由需要ssh隧道RDP连接?
network
、
ssh
、
remote-desktop
、
rdp
我们
的
办公室不运行任何Microsoft产品,但也有少数人使用linux RDP客户端访问远程虚拟桌面上
的
应用程序和服务提供商。是否值得通过ssh来引导RDP,还是我不应该太担心?
浏览 0
提问于2011-08-13
得票数 4
回答已采纳
3
回答
威胁
建模对扫描代码有帮助吗?
vulnerability-scanners
、
threat-modeling
威胁
建模肯定有助于确定测试用例以及在何处进行模糊处理,但我
的
问题是
针对
代码扫描
的
。
威胁
建模是否有助于聚焦/排序或任何方式
的
静态代码分析?
浏览 0
提问于2012-01-29
得票数 9
回答已采纳
2
回答
击败minimax对手
artificial-intelligence
、
minimax
、
alpha-beta-pruning
我必须创建一个
人工智能
,它必须与其他
人工智能
竞争。 两个
人工智能
将在相同
的
硬件上运行,具有相同
的
处理时间和内存量。我知道对手AI将使用带有alpha beta剪枝
的
极大极小算法。现在我
的
问题是--有什么方法可以击败这样
的
对手?如果我自己使用minimax -那么两个AI都能完美地预测对方
的
走法,游戏会根据游戏
的
固有属性(第一步获胜等)来解决问题。显而易见
的
解决方案是以某种方式提前看到可能
的<
浏览 0
提问于2013-03-29
得票数 2
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
企业内网安全的潜在威胁及对策
揭秘:人工智能带来的网络安全威胁
人工智能所带来的方便远远超过威胁
智慧城市带来的网络威胁有哪些?
人工智能对策略游戏开发的影响
热门
标签
更多标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
活动推荐
运营活动
广告
关闭
领券