面向开发人员梳理的代码安全指南,旨在梳理 API 层面的风险点并提供详实可行的安全编码方案。基于 DevSecOps 理念,我们希望用开发者更易懂的方式阐述安全编码方案,引导从源头规避漏洞。
当我们访问的站点只是一个简单的登录页面时,我们应充分利用涉及到的JavaScript脚本函数或文件。
在当前的数字时代,安全至关重要。在我们作为开发人员的工作中,我们经常处理密码等机密数据。必须使用正确的密码加密和隐藏方法来保护这些敏感数据。Python 中许多可访问的技术和模块可以帮助我们实现这一目标。通过对可用实现的基本思想和示例的解释,本文研究了在 Python 中隐藏和加密密码的最佳技术和方法。
The OWASP IoT Attack Surface Areas (DRAFT) are as follows:
CryptoChat是一款功能强大的纯Python消息加密安全传输工具,该工具专为安全研究专家、渗透测试人员和红蓝队专家设计,该工具可以完全保证数据传输中的隐私安全。
大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖)-实战演练(主要选择相应CMS或者是Vulnhub进行实战演练),如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们,一起完善这个项目,欢迎通过邮件形式(sec-redclub@qq.com)联系我们。
在数字化转型的浪潮下,应用程序编程接口(API)已成为企业间数据交换、业务协同的核心桥梁。然而,随着API数量与复杂性的增长,它们也成为了攻击者觊觎的目标。数据泄露与业务逻辑漏洞是API安全中的两大关键挑战。本文将深入探讨API安全最佳实践,旨在帮助开发者构建坚固防线,防止敏感数据泄露与业务逻辑被恶意利用。我们将结合实战代码示例,为读者呈现一套全面且实用的API安全防护策略。
工具均从网络上收集,请大家尊重工具原作者,如需二次开发或用作商业用途,请联系工具原作者。
BinaryCookieReader.py (用法: 将cookie文件导出到PC端,python BinaryCookieReader.py [cookies.binarycookies-file-path])
针对Apache Log4j漏洞(也称为Log4Shell),以下是一个基本的Python脚本,用于扫描目标主机并检查是否存在漏洞:
互联网是一片荒地, 在互联网上部署 Web 服务的时候, 安全是首要考虑的。Django 在提供可靠和安全的API方面做的非常出色.但是前提是你要正确的使用它们。
Linux命令行登录系统,MySQL时,输入的密码看不到的,怎么在执行Python脚本时,密码等敏感信息也不让它出现呢?
其中,小微企业较为关注软硬件资源及后期运维成本,大多采用公有云部署。而大中型企业或金融、政府等行业出于数据隐私和等保合规因素的考虑,较多的采用私有云和混合云部署。
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
RSAConference2021将于旧金山时间5月17日召开,这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。
随着数字时代的到来,图像和视频数据的获取与传播变得异常容易。然而,这也带来了隐私泄露的风险,尤其是在公共场合或通过社交媒体分享的图像和视频。隐私保护技术的发展,旨在确保个人隐私在数字世界中的安全。本文将探讨图像与视频隐私保护技术的发展历程,包括关键技术、应用实例以及未来的发展方向。
https://juejin.im/post/5bd79dc4f265da0acb13df0d
各位Python程序猿大佬们!在当今数字化时代,网络安全是至关重要的。保护你的网络通信安全对于个人和组织来说都是非常重要的任务。在本文中,我将与你一起探讨Python网络安全编程中的代理、虚拟专用网络和TLS这三个关键概念,分析它们的优劣势和适用范围,帮助你更好地保护你的网络通信。
Github地址:https://github.com/HBNetwork/python-decouple
本文主要介绍下在Python语言环境下,几种常见的方式。对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下。
最近,在使用Python的pip包管理工具时,有些用户可能遇到了这样一个警告信息:WARNING: pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available.这个警告表明Python的ssl模块在当前环境中不可用,往往是由于缺少相应的依赖导致的。这篇博客将介绍如何解决这个问题,并为大家提供一些可能的解决方案。
网络安全协议是一组规则和标准,用于保护网络通信的安全性和完整性。这些协议通过加密、认证和数据完整性检查等技术手段,确保数据在传输过程中不被窃取、篡改或伪造。网络安全协议广泛应用于互联网、局域网和其他类型的网络,以确保个人、企业和政府机构的数据安全。
物联网设备固件安全分析项目译文 概述 固件分析项目旨在为物联网Attack Surface“设备固件”提供安全测试指导: 分类 设备固件漏洞 - 过期的核心组件- 无技术支持的核心组件- 过期和/或自签名证书- 在多个设备使用相同的证书- 管理web界面漏洞- 硬编码或易于猜测的凭据- 敏感信息暴露- 敏感URL信息暴露- 加密密钥暴露 建议 - 确保开发人员能够使用并支持升级至最新软件- 确保设备具备健壮性的更新机制- 确保开发人员使用有技术处支持的、最新的软件- 开发一种机制,确保在旧证书过期时安
在数据经济时代数据要素已经成为了企业重要资产,对于企业不同的业务部门来说,每时每刻不在通过共享数据方式进行业务协作。一些企业会将大量的敏感客户数据、订单数据拷贝到开发、测试、数据分析环境,但并没有采取任何对数据脱敏的措施。这将面临重大的监管及数据泄露风险。为了保证数据在企业内外部依法依规使用,需要相应的数据脱敏技术来实现对敏感数据的保护。
@易枭寒 正在 GitHub 写一个 Python 相关的开源项目。 项目地址: https://github.com/Yixiaohan/show-me-the-code (可点击本文最下方的“阅读原文”直接进入) 项目介绍: Python 练习册,每天一个小程序。 当然其中的很多题目对于其他编程语言也是适用的。 想法灵感来源于,学生时代的 100 个 C 语言练习题目。 项目的初衷,旨在让更多的人学习、使用 Python。 而不是像 100 个 C 语言练习题目中某些题目「不实用」,比如说打印九九乘法表
异常处理是任何编程语言中的重要组成部分,Python 也不例外。Python 提供了丰富的异常处理机制,让开发者可以更好地管理程序中出现的错误。除了捕获和处理异常外,记录异常信息也是至关重要的,以便日后排查问题和改进程序。本文将介绍如何在 Python 中捕获异常,并将异常信息记录到日志文件中。
1. 代码中的敏感信息加密,例如邮箱账号密码、连接数据库的账号密码、第三方校验的key
小程序登录时,获得用户的信息,只是昵称,无法用作ID。而有用的数据,都加密着,腾讯给出了解密的方法: 加密数据解密算法 接口如果涉及敏感数据(如wx.getUserInfo当中的 openId 和unionId ),接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据,需要对接口返回的加密数据( encryptedData )进行对称解密。 解密算法如下: 对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充。 对称解密的目标密文为 Base64_Decode(encryptedD
在经历了多年的攻防对抗之后,大量目标单位逐渐认识到安全防护的重要性。因此,他们已采取措施尽可能收敛资产暴露面,并加倍部署各种安全设备。但安全防护注重全面性,具有明显的短板...
在数字化时代,网络通信成为了人们生活和工作中不可或缺的一部分。然而,随着互联网的发展,网络安全问题也日益严重。为了保护数字通信的安全性,网络协议中的机密性、完整性和可用性变得至关重要。本文将介绍这三个关键概念以及它们在网络协议中的应用。
NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。
许多现代网络应用依靠解释型编程语言,因为它们有丰富的库和包。像PyPI、Npm和RubyGems这样包管理器提供了一个集中的仓库,开发者可以搜索和安装代码包,以帮助开发。包管理器不仅使开发过程更加有效,而且还创建了一个大型社区,进行合作和分享开源代码。不幸的是,攻击者已经找到方法渗透到这些社区,用恶意代码感染良性的流行软件包,窃取凭证,安装后门,甚至滥用计算资源进行加密货币挖掘。
之前写了一个基于python的一句话木马客户端程序,这个程序的作用大致就是为了绕过防护设备,使敏感数据能在网络里自由穿梭。由于编程能力有限,当时以python程序作为客户端,php代码作为服务端,勉强能用,但是缺乏jsp的服务端,使之功能很局限。幸好有大神caomei相助<点击阅读原文查看链接>,帮助实现了jsp端的代码,故将两者相结合,方便使用。 PyCmd适用环境 当服务器允许上传任意文件,且对文件内容不进行审计检查,但由于其网络边界有防火墙会拦截审计通信的数据。这时我们能成功上传一句话木马,然而连接菜
最近,一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术,通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。
前言 H5移动应用作为个人生活、办公和业务支撑的重要部分,也面临着来自移动平台的安全风险,不仅仅来自于病毒,更多的是恶意的攻击行为、篡改行为和钓鱼攻击。关于H5页面的安全测试,业务逻辑功能测试基本和WEB渗透测试是通用的。 从业务安全角度考虑,一般客户端与服务端通信会进行加密,防止被刷单、薅羊毛等攻击,需要对数据加密加密处理。所以我们必须了解各种加密方式。开发者常会用到AES(Advanced Encryption Standard)加密算法,在此对H5页面的漏洞挖掘案例分享给大家。 前置知识 AES加密模
我看到很多项目开发的网站,都是以 HTTP 方式进行访问,不过都是在公司内部使用,就算不安全也影响不大。但是一旦接入互联网,那就是另一回事了,只要你的网站需要用户注册,传输卡号、密码等敏感信息,建议都迁移到 HTTPS,下面就来具体聊一聊迁移到 HTTPS 的必要性及相关迁移的方法。
近日,参加金融行业某私测项目,随意选择某个业务办理,需要向客户发送短信验证码: 响应报文中包含大段加密数据: 全站并非全参数加密,加密必可疑!尝试篡改密文,页面提示“实名认证异常”: 猜测该密文涉及用户信息,且通过前端 JS 解密,验证之。 前端无秘密:看我如何策反 JS 为我所用(上) 武器化利用 分析清楚漏洞详情,接下来一定是将手工利用转变为自动攻击,实现武器化,才能将战果最大化。 武器化,我有两个选择:一是复用报文,对 PHONE_NO 参数加载手机号码字典,借助 python 的 reques
涉及知识内容:NanoCMS利用,hash-identifier,Hashcat破解hash,用户历史记录找敏感信息,内网提权
SecureCRT是一款功能强大的终端仿真软件,主要用于安全Shell (SSH)、Telnet和其他协议的远程访问和管理。SecureCRT提供了一种可靠的加密方式,可以保护你的敏感数据和机密信息,同时支持多种操作系统(包括Windows、Mac OS X和Linux)。
kali中安装: git clone https://github.com/matthewgao/F5-steganography
前几天做了一个登陆页面的绕过,由于认证返回的token是JWT的格式,于是花了一些时间看了看有关于JWT的东西。
Ansible Vault是一项允许用户加密Ansible项目中的值和数据结构的功能。这提供了保证Ansible成功运行敏感数据所必备的能力。
近年来数据泄露安全事件频发,在今年的hw网络安全攻防演练中,获取敏感信息、数据泄露等漏洞的得分也越来越高,我们SINE安全近十年来成功的帮助了许多客户,查找到了数据泄露的原因,在这里向大家分享我们的经验与心得,包括数据泄露的排查办法以及修复。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
📷 按要求转载自安全客 作者 | 360安全卫士 几年前,敲诈者木马还是一个默默无闻的木马种类。然而,由于其极强的破坏力和直接且丰厚的财富回报,敲诈者木马这几年已经一跃成为曝光率最高的木马类型——甚至超越了盗号木马、远控木马、网购木马这传统三强。与此同时,各种敲诈者木马也在不断推陈出新,变着花样地出现在分析人员的视野中。 去年,360安全团队就发现了一款使用PHP语言编写的敲诈者木马(具体内容参考《用世界上最好的编程语言写成的敲诈者木马》)。最近,一款使用Python语言编写的敲诈者木马又
这是我的系列文章「Python实用秘技」的第11期,本系列立足于笔者日常工作中使用Python积累的心得体会,每一期为大家带来一个几分钟内就可学会的简单小技巧。
内网的核心敏感数据,不仅包括数据库、电子邮件,还包括个人数据及组织的业务数据、技术数据等。可以说,价值较高的数据基本都在内网中。本文重点介绍如何快速定位个人计算机,并对计算机操作系统信息、浏览器登录和使用的历史记录、用户文件操作行为以及聊天软件对话内容等信息进行收集。因此,了解攻击者的操作流程,对内网数据安全防护工作至关重要。
靶机地址:https://www.vulnhub.com/entry/goldeneye-1,240/
作为一名专业的爬虫程序员,今天要和大家分享一个关键的技术,它能够为私密数据采集提供保密性能力——隧道爬虫IP技术。如果你在进行敏感数据采集任务时需要保护数据的私密性,那么这项技术将是你的守护神。
领取专属 10元无门槛券
手把手带您无忧上云