- 综合排序
- 最热优先
- 最新优先
- 来自专栏python基础文章
网络安全——网络层IPSec安全协议(4)
前言 在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。 IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 AH头是一个IPv6的扩展头按照RFC2460标准的规定:它的值是头长度减去一个64位,在认证数据为标准的96位时,这个域的值为4。 (3)保留字段:16位,该字段用于今后的扩充,设置为0。 (4)安全参数索引SPl:专有32位值,用以区分那些目的IP地址和安全协议类型相同,但算法不同的数据包。 (5)序列号:32位整数,它代表一个单调递增计数器的值。 通常,当用于IPv6时,AH出现在IPv6逐跳路由头之后,IPv6目的选项之前;而用于IPv4时,AH跟随主IPv4头。
71220编辑于 2023-10-15 - 来自专栏啄木鸟软件测试
安全测试工具(连载4)
案例4:电子商务登录功能CSRF测试 打开CSRFTester,设置浏览器代理为:127.0.0.1:8008,点击【Start Recording】按键,在浏览器页面输入电子商务登录页面的IP地址,
70310发布于 2019-12-12 - 来自专栏Python
4安全意识-试卷
4.(单选题) 邮件攻击类型不包括下列哪一个?(10分) A. 勒索病毒 B. 商业邮件诈骗 C. 水坑攻击 D. 仿冒企业邮件 回答错误 正确答案为: C, 答案解析:略。 5. (单选题) 下列哪一个不属于信息安全范畴?(10分) A. 人员安全 B. 实体安全 C. 运行安全 D. 电源安全 回答错误 正确答案为: D, 答案解析:略。 9. (多选题) 上网安全中的两种公共设备谨慎用,指的是:(10分) A. 计算机安全 B. 公共WIFI C. 公共手机充电桩 D. (多选题) 信息安全范畴包括下列哪几个:(10分) A. 计算机安全 B. 通信安全 C. 信息本身的安全 D. (多选题) 信息安全常识包含下列哪几个:(10分) A. 邮件安全 B. 密码安全 C. 物理安全 D. 化工安全 回答错误 正确答案为: A、B、C, 答案解析:略。 19.
24810编辑于 2024-10-12 - 来自专栏云云众生s
4个API安全最佳实践
译自 4 API Security Best Practices,作者 Judith Kahrer。 API 是现代数字解决方案的支柱。因此,API 安全应该成为首要的业务关注点。 如果您考虑以下两个要点,您将为您的 API 安全奠定良好的基础: 使用 API 网关。 使用访问令牌进行授权。 让我详细说明它们的优势,并展示如何发展您的 API 安全。 1. JWT 安全最佳实践 包括以下内容: 始终验证访问令牌。 避免常见风险 使用 API 网关和访问令牌进行授权,可以避免常见的 API 安全风险。 4. 提升 API 安全性 通过添加 API 网关并使用 OAuth 或 OpenID Connect 基于访问令牌进行授权,您可以缓解许多主要的 API 安全风险。
55610编辑于 2024-07-15 - 来自专栏喵了个咪的博客空间
4.请求安全-- 结合使用的安全优势总结
#结合使用的安全优势与总结# ##前言## 写到这里基本上笔者在请求中遇到的问题,以及运用到实践中的解决方案,基本上分为,请求唯一性,单设备登录,单点登录,MD5校验 这几种校验的小技巧,在之前都对着几种校验方式进行也一些独立的说明 (还没有看过的可以先去游览查阅一下,在请求安全模块中) 在本章里面会着重说明怎么样综合使用,如何获得比较高的安全性,以及会简单介绍一下方便使用的一种高级加密方法. ##1.回顾## ###1.1 单设备登录 结合增加安全性## 1.因为有单设备登录ID是动态的,所以吧ID作为MD5的条件加密会更安全 2.MD5的随机数和时间戳与唯一请求的使用的相同,应为有MD5加密,所以模拟随机数和时间戳需要先破解MD5校验 3.密文加密可以保证所有参数都是密文,进一步增加随机数和时间戳被修改问题 ##4. ##5.总结## 通过以上所述各项小技巧的组合确实可以得到不错的安全性,基本上关于请求安全就告一段落了,笔者水平有限希望 大家多提意见,多交流!
74540发布于 2018-03-01 - 来自专栏云安全
每个安全团队都应进行的 4 个安全演练
每个组织都应该进行安全演练,回答有关勒索软件和分布式拒绝服务(DDoS)攻击、第三方风险和内部威胁相关的关键问题。确保企业免受漏洞的影响是安全团队的基本职能。 它也是网络安全供应商的最佳实践,同时也是为了满足合规要求。安全演练是一种受欢迎的评估测试,允许安全团队和企业管理层选择一个威胁,然后控制和补救威胁的过程。 安全和管理团队多久重新评估和更新这些控制措施,以适应不断变化的技术能力?有哪些物理安全控制措施,以确保只有授权用户才能访问本地计算资产? 4.分布式拒绝服务攻击分布式拒绝服务(DDoS)攻击的目标是简单地影响业务运营。2023年对谷歌的攻击达到每秒近4亿次请求的峰值,展示了当今僵尸网络DDos对企业防御能力的巨大考验。 虽然每个安全演练都是独特的,并且将包括与企业目标相关的问题,但上述问题可以帮助安全团队确定他们的优先事项。一般来说,安全演练的第一步是确定目标,这将反映在最终提出的问题上。来源:csoonline
20910编辑于 2024-10-25 - 来自专栏啄木鸟软件测试
软件安全性测试(连载4)
XSS测试就是在容易出现XSS注入的地方输入被测代码,提交后观察其显示是否会触发JavaScript脚本。常用的XSS测试JavaScript脚本主要就下面两个。
72420发布于 2019-12-23 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
826110发布于 2018-01-08 - 来自专栏IMWeb前端团队
从零开始学web安全(4)
本文作者:IMWeb 刘志龙 原文出处:IMWeb社区 未经同意,禁止转载 忙忙忙,最近事情实在有点多,赶在月底写一下系列4。 前面3个文章简单介绍了xss,后面还会继续对xss进行研究。 CSRF 是什么 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 所以说,post不是王道,但在这里比get毫无疑问要更安全。 防范 说了那么多,我写一篇文章被删一篇,难道我以后就不能写文章啦? 管理员这时候怒了,决定亮出自己三张王牌。
39210发布于 2019-12-04 - 来自专栏嘉为动态
微软安全公告—2016年4月
微软于北京时间2016年4月12日发布了13个新的安全公告,其中6个为严重等级,7个为重要等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 以下是所有安全公告的内容,供您参考。 公告标识 MS16-037标题Internet Explorer 累积安全更新 (3148531)摘要此安全更新修复了 Internet Explorer 中的多个漏洞。 (3148532)摘要此安全更新可修复 Microsoft Edge 中的漏洞。 ,请以网站上的安全公告内容为准。
1.2K30发布于 2018-12-21 - 来自专栏绿盟科技安全情报
【安全更新】微软4月安全更新多个产品高危漏洞通告
通告编号:NS-2021-0015 2021-04-14 TAG: 安全更新、Windows、Office、Exchange、Edge、Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 4月14日,微软发布4月安全更新补丁,修复了114个安全漏洞,涉及Windows、Office、Edge (Chromium-based) 、Visual Studio 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based Systems 4漏洞防护 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。
93030发布于 2021-04-26 - 来自专栏代码永生,思想不朽
实战ZMQ4.x的安全机制
ZMQ社区在2013年9月发布了zmq4。 zmq4最大的新功能即提供了一套安全机制,其中有IP黑白名单,用户名/密码鉴权,ECC(Elliptic Curve Cryptography)证书鉴权,以及通讯的加密(类似TSL)。 本文主要介绍zmq4.0的安全机制。 2. ECC的故事: 这里的ECC不是我厂历史上的电商事业群,而是椭圆曲线加密算法。ECC据说被NSA(美国安全局)操作,在算法中设置了后门。 安全机制 3. https://github.com/zeromq/czmq/issues/1470 b. czmq4实现的reactor模型不支持监控zactor对象. c. czmq4有很多函数的参数个数是不确定的
3K30发布于 2018-07-19 - 来自专栏红日安全
Web安全Day4 - SSRF实战攻防
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。 此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。 4. set $10 dbfilename $4 root *1 $4 save *1 $4 quit 来自:https://joychou.org/web/phpssrf.html 其中$61为我的vps CMS实战演示 5.1 漏洞环境 vulhub、weblogic、ssrf 5.2 漏洞介绍 CVE-2014-4210,weblogic的uddiexplorer.war存在安全组件漏洞,此漏洞可通过
2.2K50发布于 2020-02-20 - 来自专栏SDNLAB
NFV网络的4大安全威胁
这会给网络带来很多新的漏洞,NFV网络从网络安全角度提出了几个新的挑战和风险。已经在使用新技术的服务提供商网络安全专家表示,跟使用NFV的最终带来的好处相比,这些挑战和风险是完全值得去解决的。 ? ❆ NFV网络安全挑战 1、OpenStack的安全漏洞 OpenStack被广泛应用于创建一个数据中心/云平台。 然而,在一些电信NFV网络中,计算节点在核心之外,这要求操作者放松控制器和计算节点之间的安全规则。安全性的降低带来了一些风险和挑战,必须在OpenStack适用于服务提供商之前解决这些问题。 4、恶意软件可能会在虚拟机和主机之间轻松传播 在当今的安全方案中,大部分都是针对外围应用的安全方案。例如,有防火墙或其他一些类型的高级保护,来控制进出运营商网络的内容。 为了解决这些网络安全风险,业界需要能够有效处理这些安全漏洞的方案,不仅要防止恶意软件进入网络,还要做好这些恶意软件已经存在于网络上的准备。
1.3K90发布于 2018-03-30 - 来自专栏云计算D1net
大数据时代 云安全4大策略
当在大数据使用案例中提及云安全策略时,我们希望任何安全解决方案都能够在不影响部署安全性的情况下提供与云一样的灵活性。 2、寻找在结构上能够扩展的云安全解决方案 在大数据当中,结构的每一个组件都应该能够扩展,云安全解决方案也不例外。在选择云安全解决方案时,用户需要确保它们在所有跨地区云部署点中都能够发挥作用。 为了获得必要的扩展性,建议使用专门针对云计算设计的云安全解决方案,它们的安全性可以等效(甚至是超过)基于硬件的解决方案。 4、对数据安全永不妥协 虽然云安全通常十分复杂,但是用户在大数据部署当中还是会发现一些“安全捷径”。这些“安全捷径”通常貌似能够回避一些复杂设置,同时保持大数据结构“不受伤害”。 多备份在给用户备份数据时自动把数据压缩加密并传到多个云端平台,采用3层加密安全保护体系使得数据安全达到最高。
1.2K70发布于 2018-03-21 - 来自专栏嘉为动态
Red Hat安全公告—2016年4月
在2016年3月份至2016年4月份,Red Hat CVE漏洞库发布了3个“重要”、“严重”等级的安全漏洞,并针对出现的安全漏洞发布了对应的Bugzilla。 安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 由于漏洞太多,以下只列举了“重要”、“严重”程度的安全漏洞,供您参考。 /4/12 关于这些新发布的所有安全漏洞,可以在以下页面中找到详细信息: https://access.redhat.com/security/cve/ 备注:需使用您的Red Hat账号登录,方可查看全部安全漏洞详细信息 NIST NVD.最高严重等级Critical漏洞的影响Red Hat Enterprise Linux 5 (samba3x)Red Hat Enterprise Linux 6 (samba4、 ,请以网站上的安全公告内容为准。
53730发布于 2018-12-21 - 来自专栏程序猿的大杂烩
Java并发编程(4)- 线程安全策略
: 一个线程安全的对象或者容器,在内部通过同步机制来保证线程安全,所以其他线程无需额外的同步就可以通过公共接口随意访问它 被守护对象: 被守护对象只能通过获取特定的锁来访问 ---- 不可变对象 有一种对象发布了就是安全的 所谓线程不安全的类,是指该类的实例对象可以同时被多个线程共享访问,如果不做同步或线程安全的处理,就会表现出线程不安全的行为。 4.有一种写法需要注意,即便是线程安全的对象,在这种写法下也可能会出现线程不安全的行为,这种写法就是先检查后执行: if(condition(a)){ handle(a); } 在这个操作里, ---- 4.HashMap对应的ConcurrentHashMap HashMap的并发安全版本是ConcurrentHashMap,但ConcurrentHashMap不允许 null 值。 的4倍左右。
60930发布于 2020-09-23 - 来自专栏渗透测试专栏
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
应用安全领域提供文章、方法论、文档、工具和技术,致力于应用软件的安全研究。 OWASP的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。 目前OWASP全球拥有250个分部,近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 安全配置错误 安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配詈开源云存储、错误的 HTTP 标头配置以及包含敏感信息的详细错误信息所造成的。 一个能在组件和用户间提供有效的分离和安全性的分段应用程序架构,包括分段容器化和云安全组。 向客户端发送安全指令,如:安全标头。 在所有环境中能够进行正确安全配置和设置的自动化过程。
1.3K20编辑于 2024-09-27 - 来自专栏腾讯安全
「产业安全公开课」精彩回顾:4月安全课程视频独家回放
在4月的「产业安全公开课」中,来自腾讯安全和深信服的三位安全专家分别对金融领域中的非接触式信贷安全、数据保护和融合、银行数字化转型等方面进行金融安全解决方案的分享和实用防护的建议;合作伙伴专场中,来自腾讯安全的多位专家为大家带来云场景的 下拉速看4月公开课精选内容 01大数据时代,如何使用联邦学习进行安全合规的数据融合? 本期课程中深信服金融安全专家聚焦非接触式金融服务中的信息安全风险,从远程办公、开放银行、网上银行、个人金融信息等方面介绍如何保障非接触式金融服务安全。 视频内容 想了解更多公开课的精彩内容? 5分钟速看FreeBuf抗D专场精华《今晚8点 | 云时代下的DDoS安全体系建设》 5分钟速看民航信息安全专场精华《民航专家齐聚云端,共话民航业信息安全建设》 3月精彩课程请戳《「产业安全公开课」精彩回顾 :3月安全课程视频独家回放》 2月精彩课程请戳《「产业安全公开课」精彩回顾,6位安全专家的课程视频独家回放》
55130发布于 2020-05-15 - 来自专栏重庆的技术分享区
确保业务安全的4个基本要素
最近的网络安全漏洞和攻击使得商业和技术社区在安全性方面处于动荡状态。 以下是安全专家和安全公司高层管理人员提供的一些建议,他们具有多年保护企业免受此类威胁的经验。 相关:领导者可以从索尼黑客丑闻中吸取教训 1.知识就是力量。 强大的安全策略必须包括移动设备。适当的端点保护必须包括安全策略、过程和培训,以便员工遵守策略,甚至在他们的私人活动中也是如此。斯坦伯格说:“如果人们破坏安全,任何技术都无法提供安全保障。” 4.小企业最容易受到竞争对手的影响。 “使用隐蔽的网络犯罪手段,比如DDoS攻击小企业,不太可能是国家发起的攻击。” 如果您打算在全世界开展业务,那么专注于安全性有助于建立一个值得信赖的品牌。现在遭受破坏的许多企业证明了他们对这一运营方面的关注很少。
44810发布于 2018-08-01
腾讯云开发者
