- 综合排序
- 最热优先
- 最新优先
- 来自专栏啄木鸟软件测试
安全测试工具(连载6)
2.3 Pangolin Pangolin(穿山甲)一款帮助渗透测试人员进行SQL注入测试的安全工具。它能够通过一系列非常简单的操作,达到最大化的攻击测试效果。 Pangolin是目前国内使用率最高的SQL注入测试的安全软件,可以说是网站安全测试人员的必备工具之一。 1. 产品介绍 其特点如下。 l全面的数据库支持。 l独创的内容大小判断方法能够减少网络数据流量。 l最大化的Union操作能够极大地提高SQL注入操作的速度。 l预登录功能,在需要验证的情况下可以照样注入。 l代理支持。 l支持HTTPS协议。 l数据导出功能。 支持的数据库如下。 lAccess lDB2 lInformix, lMicrosoftSQL Server lMySQL lOracle。 lPostgreSQL。 41 Pangolin配置界面 接下来选择注入参数类型和数据库,然后选择注入后想知道的信息,最后点击Information下的【Go】按键,经过测试完毕,信息即被显示出来,见42所示。 ?
81420发布于 2019-12-12 - 来自专栏我的网安魔法之旅
Java安全之CommonsCollections6链
8u71后官方修改了AnnotationInvocationHandler类中的readObject()函数导致了在高版本下 cc1 链不可利用的问题,所以这篇文章就来介绍新的链子弥补这个缺陷,cc6链比较通用 ; import java.io.*; import java.util.HashMap; import java.util.Map; public class CommonsCollections6_ ByteArrayInputStream(barr.toByteArray())); Object o = (Object)ois.readObject(); } } 在cc6中 java.lang.reflect.Field; import java.util.HashMap; import java.util.Map; public class CommonsCollections_6 参考链接: https://juejin.cn/post/7130505267074203656 Java篇之ysoserial中的一些操作 Java篇Commons Collections 6
30320编辑于 2023-05-16 - 来自专栏CWIKIUS
Confluence 6 安全相关问题提交链接
找到和报告安全漏洞 Atlassian 有关安全漏洞的报告细节,请参考如何报告一个安全问题(How to Report a Security Issue)链接。 发布 Confluence 安全公共 Atlassian 有关发布安全漏洞的细节,请参考安全建议发布策略(Security Advisory Publishing Policy)链接。 严重程度 Atlassian 有关安全问题的严重程度排列,请参考针对安全问题的严重程度(Severity Levels for Security Issues)链接。 我们的安全缺陷修复策略 我们有关安全缺陷问题修复的补丁发布信息,请参考安全缺陷修复策略(Security Bugfix Policy)链接。 https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories
46830发布于 2019-01-30 - 来自专栏啄木鸟软件测试
软件安全性测试(连载6)
但是现在许多企业采用了前后端分离技术,前端处理HTTP渲染交互,后端负责向前端与数据库交互数据及业务处理,甚至在中间加入一个以Node.js的中间层,目的是解决效率与跨域问题。
77720发布于 2019-12-23 - 来自专栏嘉为动态
微软安全公告—2016年6月
微软于北京时间2016年6月14日发布了16个新的安全公告,其中5个为严重等级,11个为重要等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 2016年6月新的安全漏洞 以下是所有安全公告的内容,供您参考。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
93730发布于 2018-12-21 - 来自专栏绿盟科技研究通讯
多方安全计算(6)MPC中场梳理
一、引言 诚为读者所知,数据出域的限制约束与数据流通的普遍需求共同催生了数据安全计算的需求,近一两年业界又统将能够做到多方数据可用不可见的技术归入隐私计算范畴。 · 安全两方预测:一方提供数据,另一方提供模型,两方不暴露彼此的信息。实践中通常基于同态加密完成主体计算部分,用不经意传输辅助完成比较运算,读者可参考[13]了解更多信息。 · 安全外包预测:常见场景为,模型以公开或加密的形式存储在多个云服务器(通常为两个)中,数据提供者将数据进行切分,多个云服务器之间通过密文交互,完成模型的前馈,并最终将密文结果返回给数据拥有者,数据拥有者从多份密文结果中恢复正确结果 本过程事实上是安全两方预测的加强版本,因为其需要计算参与方既不知道数据,也不知道模型,实践中通常基于秘密共享技术完成,读者不妨参考[18]。 /SEAL [6]:https://zh.m.wikipedia.org/zh-hans/%E4%BC%AA%E9%9A%8F%E6%9C%BA%E6%95%B0%E7%94%9F%E6%88%90%E5%
2.1K11编辑于 2023-02-22 - 来自专栏CWIKIUS
配置 Confluence 6 安全的最佳实践
请参考你公司的安全管理策略和相关人员来找到你公司应该采用何种安全策略。这里有很多事情需要我们考虑,例如考虑如何安装我们的操作系统,应用服务器,数据库服务器,网络,防火墙,路由等。 如果只有一个部分应该访问敏感数据的话,那么限制这个敏感部门的用户数量。不要为了方便而不为这些用户设置特定的安全策略。不要给不需要访问敏感数据的用户的访问权限。 请确定你的 Confluence 数据库用户(和所有数据源的用户)具有只他们需要的权限,不要大范围赋权。 监控你的文件系统中的文件。 再次说明的是,上面的所有安全配置可能不是所有你需要设置的安全信息和功能,安全设置与你系统安全的需求还是有很大关系的。同时,请注意没有人能够在安全上能够进行完全的保证。 https://www.cwiki.us/display/CONF6ZH/Best+Practices+for+Configuring+Confluence+Security
88740发布于 2019-01-30 - 来自专栏API安全
6月API安全漏洞报告
为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑给大家整理了6月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。 强制使用安全的认证方法,例如用户名和密码、访问密钥等。• 加密数据:采用加密措施对存储在MinIO中的敏感数据进行加密,即使数据被盗取,也无法解密和使用。 攻击者可以通过未授权访问Rest API接口获取敏感信息,如用户凭据、配置文件、数据库信息等。这可能导致个人隐私泄露、数据泄露等问题。影响范围:4.0.0 <= Joomla <= 4.2.7。 • 安全审计:定期对Joomla系统和其相关组件进行安全审计,检查是否存在其他安全漏洞,并及时修复。 因此,保护API已经成为任何组织安全策略中的至关重要的一部分,需要采取安全措施和最佳实践来确保数据和系统的安全。只有这样,才能保证企业在数字化时代获得最高水平的安全保障。
71710编辑于 2023-06-30 - 来自专栏猫头虎博客专区
《21天精通IPv4 to IPv6》第6天:IPv6的安全配置——如何处理IPv6安全问题?
《21天精通IPv4 to IPv6》第6天:IPv6的安全配置——如何处理IPv6安全问题? 摘要 在《21天精通IPv4 to IPv6》系列的第六天,我,猫头虎博主,将探讨IPv6的安全配置。 本文将详细讨论IPv6面临的安全挑战、安全配置策略以及实际案例和最佳实践,以确保读者能够在处理IPv6安全问题时更加得心应手。 本文内容包含关键词,如IPv6安全、网络安全配置、IPv6最佳实践,旨在帮助读者无论是新手还是专家都能轻松理解IPv6安全问题的处理方法。 引言 随着IPv6的普及,对其安全性的关注日益增加。 正文 IPv6安全挑战 IPv6引入了一些新的安全挑战,主要包括: 扩展头部和路由选择: IPv6的扩展头部可能被用于规避安全措施。 自动配置: IPv6的自动配置特性可能被恶意利用。 加密和身份验证: 利用IPv6的IPSec支持进行数据加密和端到端通信。 定期更新和补丁管理: 保持系统和安全设备的更新,以应对新出现的漏洞。 ⚠️ 注意事项 保持对IPv6安全威胁的持续关注。
68110编辑于 2024-04-09 - 来自专栏FreeBuf
观众报名 | 6月6日FreeBuf企业安全俱乐部·深圳站
在这种新形势下,机遇与风险并存,杰出的网安人们已经纷纷开始探讨、研究,为安全运营及数据治理趋利避害、助力赋能。 如今,切磋交流的舞台已在路上——2023年6月6日,FreeBuf企业安全俱乐部·深圳站将重磅来袭,观众报名通道已正式开启! 观众报名入口 参会观众可扫描下方二维码免费报名: 报名时间:即日起至 6 月 5 日 大会地点:深圳益田威斯汀酒店 3 楼威斯汀宴会厅 大会时间:2023 年 6 月 6 日 09:00-18: 大会以“数据安全与安全运营”为主题,邀请来自腾讯安全、易方达安全、清华大学等在内的相关网络安全负责人、资深专家参与,就企业数据安全和安全运营展开深度碰撞。 同时,本次高峰论坛分别就“数据安全”、“安全运营”设有主题圆桌,在议题分享结束后,与会嘉宾将就相关话题进行深入交流。
29520编辑于 2023-05-12 - 来自专栏智能大数据分析
【大数据安全】数据管理安全&安全分析&隐私保护
(6)对于法律有特殊要求的用户隐私数据可遵照当地法律所要求的规范进行保存和处理。 (五)数据脱敏 数据脱敏用于保护大数据平台中的敏感数据,主要涉及加解密算法的安全、加密密钥的安全、存储安全、传输安全以及数据脱敏后密文数据的搜索安全等。 ; (4)禁止在cookie 中以明文的形式存放敏感数据; (5)禁止在隐藏域中以明文的形式存放敏感数据; (6)禁止在Web页面缓存中以明文形式存放敏感数据; (7)采用HTTP-POST方法提交敏感数据 (1)现网数据样本清洗和管理; (2)样本数据的信息关联和扩展; (3)样本流数据统计; (4)流统计时序数据的存储和检索; (5)实际流量估计; (6)在线异常流检测基于机器学习的异常流检测模型训练 聚合维度如下: (1)源网段聚合统计 (2)源地区聚合统计 (3)目的地区聚合统计 (4)目的网站(云、数据中心)聚合统计 (5)源网站(云、数据中心)聚合统计 (6)网站(云、数据中心)同源网段聚合统计
1.4K10编辑于 2025-01-22 - 来自专栏云鼎实验室的专栏
数据安全法真的来了,这6个“雷区”千万别踩!
2021年6月29日,深圳市通过了《深圳经济特区数据条例》,自2022年1月1日起施行; 2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》的通知,数据安全纳入网络安全审查 01 未开展数据安全相关防护 “第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。” 技术建设,风险感知 根据自身数据活动特征,建设相应的数据安全技术,保障数据能够安全的使用,同时建设数据安全风险的感知平台,借助大数据和人工智能技术综合提升发现风险的能力。 数据安全能力的建设应重点考虑一体化、轻量化的方式,满足数据安全防护要求的同时,尽量减少对业务的影响和额外带来的运维工作。数据安全技术包括数据脱敏、访问控制、数据加密、数据安全运维等。 数据安全技术是实现数据安全防护最直接的手段,腾讯安全将核心的数据安全技术进行融合,包括敏感数据发现、数据安全审计、访问控制、动态脱敏、数据加密存储等技术,形成统一的数据安全能力平台,不仅能够有效的发挥防护作用
2.2K20发布于 2021-09-03 - 来自专栏DevOps持续集成
安全软件供应链6个交付管道安全最佳实践
VCS 或 CI/CD 管道缺陷可能会暴露敏感信息,然后这些信息可用于获得特权访问和泄漏敏感数据。如果没有适当的控制,恶意代码注入或中毒可能会破坏整个交付管道。 采用 VCS 和 CI/CD 安全最佳实践将有助于保护软件开发和部署中涉及的组件、操作和过程。 在这篇文章中,我们将研究 VCS 和 CI/CD 管道中一些最常见的安全漏洞,这些漏洞可能会使供应链受到攻击。然后,我们将介绍安全专业人员可以实施以减轻供应链攻击的几个最佳实践。 VCS 安全最佳实践包括强制双重身份验证和配置单点登录 (SSO)。自动扫描您的 VCS 组织设置以确保它们符合 VCS 安全最佳实践是在任何设置发生更改时获得持续保护的好方法。 使用 IP 地址阻止可疑netcat是阻止该连接以进行数据泄露的好方法。 目前,利用 VCS 和 CI/CD 管道已成为行业标准。它们帮助工程团队快速构建、更新和修复模块化应用程序组件。
85930编辑于 2022-12-29 - 来自专栏全栈程序员必看
什么是数据安全,为什么需要数据安全,怎么才能实现数据安全?
WHAT何为数据安全? 数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。 它就是一种能够合理评估及减少由数据存储所带来的安全风险的技术方式。 数据安全“学习三问”WHAT WHY HOW WHY为什么需要数据安全? 而以数据为中心的安全模型则是换一个角度解决上述安全问题的方法。 HOW如何实现数据安全? 由此可见,在不少场景下,数据安全模型与用户安全模型的应用效果可能产生巨大的差别。 另外,上述场景也表明,数据安全模型的应用还依赖于一个前提条件——数据分类。 如何实施数据分类? 几项简单易实施的数据安全技术措施 在数据安全领域,可用于提高数据安全性的应用技术还包括: (1) 结束收集不必要的数据 近十年来,在IT管理领域,我们能够都看到对数据的认知所发生的巨大改变。
1.6K20编辑于 2022-08-31 - 来自专栏老高的技术博客
centos6 优化脚本与安全脚本
= 6 ];then echo "this script is only for CentOS 6 !" x86_64/epel-release-6-7.noarch.rpm #rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-6. cat > /etc/modprobe.d/ipv6.conf << EOFI alias net-pf-10 off options ipv6 disable=1 EOFI echo "NETWORKING_IPV6 selinux 禁用GSSAPI来认证,也禁用DNS反向解析,加快SSH登陆速度 优化一些内核参数 调整删除字符的按键为backspace(某些系统默认是delete) 打开vim的语法高亮 取消生成whatis数据库和 locate数据库 关闭没用的服务 关闭IPv6 安全设置 #!
63530编辑于 2022-12-28 - 来自专栏老K博客
利用ThinkPHP6实现网站安全检测
摘要 本文主要介绍了ThinkPHP6框架及其安全机制,以及如何利用这些机制和工具进行网站安全检测 一、什么是ThinkPHP6 ThinkPHP6是一款PHP开发框架,是ThinkPHP系列的最新版本 同时,ThinkPHP6还提供了多种安全机制,如数据过滤、CSRF过滤、XSS注入过滤等,帮助用户更好地保障网站安全性。 二、安全检测的基础知识 在实施安全检测前,需要掌握一些基础知识。 三、ThinkPHP6的安全机制 ThinkPHP6提供了多种机制来增强网站的安全性。 1.数据过滤 数据过滤是指对用户提交的数据进行验证和过滤,防止恶意攻击。 在ThinkPHP6中,数据过滤分为验证和过滤两个步骤。验证是指判断用户提交的数据是否符合规定的格式和要求,过滤则是将危险的字符转化或替换。 四、利用ThinkPHP6实现网站安全检测 在利用ThinkPHP6实现安全检测前,需要安装好ThinkPHP6环境并创建好网站。下面介绍几个常用的安全检测工具。
89510编辑于 2024-01-08 - 来自专栏嘉为动态
Red Hat安全公告—2016年6月
在2016年5月份至2016年6月份 Red hat CVE漏洞库发布了5个“重要”“严重”等级的安全漏洞,针对出现的安全漏洞,发布了对应的Bugzilla。 安全公告每月更新一次,旨在查找解决严重的漏洞问题。 ---- 2016年6月新的安全漏洞 由于漏洞太多,以下只列举了“严重”、“重要”程度的安全漏洞,供您参考。 6CVE-2016-2150Importantspice-server、spice2016/6/6CVE-2016-1583Importantkernel2016/6/10 关于这些新发布的所有安全漏洞 ,可在以下页面中找到详细信息: https://access.redhat.com/security/cve/ 备注:需使用您的Red Hat账号登录,方可查看全部安全漏洞详细信息。 ,请以网站上的安全公告内容为准。
66340发布于 2018-12-21 - 来自专栏CWIKIUS
Confluence 6 安全概述和建议概述 原
这个页面将对系统的安全进行大致的描述,同时也会对 Confluence 的安全配置提供建议。作为一个向公众开放的 Web 应用程序,Confluence 的应用程序级别的安全是非常重要的。 这个页面同时也对使用我们产品的用户经常可能会问到的一些安全问题进行说明。 by Embedded Crowd 哈希加密算法加密后存储到数据库中。 数据库的查询使用标准的 APIs 来生成,是使用参数进行替换的,而不是使用字符串连接的的。因此,Confluence 能够具有很高的 SQL 注入攻击抵抗性。 https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories
1.4K40发布于 2019-01-30 - 来自专栏红蓝对抗
云时代,安全的6大变化
云时代,安全6大变化 无边界网络 传统IT时代,IT资产往往都有非常明确的物理边界和软件边界。比如所有资产都在自己数据中心机房中,每一台服务器上对应资产都有明确的使用方、运维方,大家权责分明。 因此做安全防护的边界也非常清晰,可以像修长城一样部署防火墙等安全屏障。但是这样的日子已经一去不复返了。 云计算,让物理安全边界消失,很多安全设备已经没有位置可以部署。 这些 API 都可能被滥用,使攻击者能够访问敏感数据或控制关键服务。云计算导致API 安全挑战激增,这是大多数团队在没有云的时候几乎没有想到的事情。 云安全机制与传统安全机制完全不同,采用过去那种“新瓶装旧酒”的安全方案,不能应对云时代安全挑战。 复杂的访问控制管理 几十年来,访问控制一直是安全架构的一部分。 6大难题,1个对策,答案就在418 2023年4月18日,青藤将举办“云时代,安全变了——2023云安全高峰论坛暨青藤品牌升级发布会”。
50220编辑于 2023-04-11 - 来自专栏数据和云
【连载】如何掌握openGauss数据库核心技术?秘诀五:拿捏数据库安全(6)
秘诀一:拿捏SQL引擎(4) 5.如何掌握openGauss数据库核心技术?秘诀二:拿捏执行器技术(1) 6.如何掌握openGauss数据库核心技术? 秘诀三:拿捏存储技术(6) 13.如何掌握openGauss数据库核心技术?秘诀三:拿捏存储技术(7) 14.如何掌握openGauss数据库核心技术? 秘诀五:拿捏数据库安全(1) 19.如何掌握openGauss数据库核心技术?秘诀五:拿捏数据库安全(2) 20.如何掌握openGauss数据库核心技术? 秘诀五:拿捏数据库安全(3) 21.如何掌握openGauss数据库核心技术?秘诀五:拿捏数据库安全(4) 22.如何掌握openGauss数据库核心技术? 我们称之为自治安全机制或智能安全机制。 事实上,越来越多的数据库服务商正在聚焦于通过使用AI技术来提升系统的安全性,这不仅包括我们常说的智能数据安全,还包括系统自治管理安全。
91730编辑于 2022-03-04
腾讯云开发者
