- 综合排序
- 最热优先
- 最新优先
- 来自专栏超级架构师
「应用安全」应用安全原则
什么是应用程序安全原则? 应用程序安全性原则是理想的应用程序属性,行为,设计和实现实践的集合,旨在降低威胁实现的可能性,并在威胁实现时产生影响。 安全原则是与语言无关的,体系结构中立的原语,可以在大多数软件开发方法中用于设计和构建应用程序。 原则很重要,因为它们可以帮助我们在新的情况下使用相同的基本思想做出安全决策。 一些成熟的应用安全原则 深度应用防御(完全调解) 使用积极的安全模型(故障安全默认值,最小化攻击面) 安全失败 以最小特权运行 通过默默无闻来避免安全(开放式设计) 保持安全简单(可验证,机制经济) 检测入侵 (妥协录音) 不要信任基础设施 不要相信服务 建立安全默认值(心理可接受性) 应用安全原则 考虑设计一个简单的Web应用程序,允许用户向朋友发送电子邮件。 References Saltzer and Schroeder (see section 3) The Six Dumbest Ideas in Computer Security Gary McGraw's 10
2.6K20发布于 2019-07-15 - 来自专栏云原生技术社区
10大K8s应用安全加固技术
本文译自 Top 10 Kubernetes Application Security Hardening Techniques[1]。 作者:Rory McCune 将应用部署到K8s集群时,开发者面临的主要挑战是如何管理安全风险。快速解决此问题的一个好方法是在开发过程中对应用清单进行安全加固。 本文,将介绍10种开发者可以对应用程序应用加固的方法。 以下技术允许在开发过程中测试强化版本,从而降低在生产环境中应用的控件对运行工作负载造成不利影响的风险。 一般方法 在编写K8s工作负载清单时,无论是pod对象还是部署daemonset之类的更高级别的东西,清单中都有一个名为securityContext的部分,允许您指定应该应用于工作负载的安全参数。 总结 创建一个安全的K8s环境有很多方面,从控制平面到集群上运行的应用程序。
97050编辑于 2022-08-12 - 来自专栏FreeBuf
去中心化应用安全威胁Top10榜单
NCC Group 发起了一个名为 2018 年去中心化应用安全 Top10(Decentralized Application Security Project)的项目。 据悉,该项目会与类似于 OWASP 的方式发布去中心化应用安全领域中,每年的十大安全威胁报。与 OWASP 开放合作透明的运作理念相似,该项目也是以集成合作的方式披露智能合约中存在的安全漏洞。 本文是第一版的 DASP Top10 2018 内容,详细描述包括递归调用漏洞、权限控制漏洞、算数问题、返回值问题、拒绝服务、伪随机在内的智能合约威胁。 在去中心化应用、以太坊的世界中,拒绝服务问题往往会是致命的:尽管其他类型的应用程序最终总是可以恢复服务的,但智能合约可能会因一次拒绝服务攻击而永久下线。 代码审计和安全检查仍然会是有效的措施,尽管有很多不成熟的地方,去中心化应用仍然在以飞速的方式发展。 *参考来源:dasp,本文编译整理Elaine,转载请注明FreeBuf.COM
51920发布于 2018-07-30 - 来自专栏Bypass
SaaS应用选型,必须考虑的10个安全问题
本文整理了10个必问的SaaS安全问题,包括基础安全,应用安全,安全合规、数据安全、安全责任划分等方面,可以快速了解SaaS厂商的安全能力。 ---- 1、SaaS软件的部署方式? 第三方资质认证作为一个参考指标,应包含云平台服务商和云租户SaaS厂商,云平台的安全能力并不等同于SaaS应用的安全能力,平台提供的是基础能力,系统自身需具备保障安全的能力。 8.SaaS应用可能涉及的安全合规问题? 重点关注,个人隐私保护、GDPR,以及爬虫、AI等技术的应用,可能带来一定的风险。 9.SaaS平台在身份验证、权限管理、日志审计方面分别是怎么做的? 10、一旦出现数据泄露事件,责任如何划分? 目前,安全责任共担模式在业界已经达成共识,亚马逊AWS、微软Azure、阿里云、腾讯云均采用了与用户共担风险的安全策略。 用简单例子来看责任的划分: A、应用系统的漏洞(应用安全)带来的安全事件 - 租户使用了SAAS服务,责任方在云平台(SAAS业务由平台方提供,由平台方负责管理) B、用户弱密码
3.8K30发布于 2020-02-14 - 来自专栏超级架构师
【安全设计】10种保护Spring Boot应用程序的绝佳方法
就像代码质量和测试一样,安全性已经成为开发人员关注的问题。如果您是一名开发人员,并且不关心安全性,那么您可能认为您应该关心安全性。本文的目的是向您介绍如何创建更安全的Spring引导应用程序。 也就是说,当您在配置中发现安全漏洞时,您有三个选项:升级、补丁或忽略。 升级是最安全的,就应用程序的整体健康而言,在您对应用程序进行任何必要的更改以使用新版本之后。 它向您提供了一个报告,显示您的web应用程序可以在何处被利用,以及关于该漏洞的详细信息。 10. 您的安全团队是否进行了代码评审 代码评审对于任何高性能的软件开发团队都是必不可少的。 不要成为在Spring引导应用程序中缺乏安全性的开发人员! 构建一个简单的CRUD应用程序 使用Spring Security和Thymeleaf将基于角色的访问控制添加到您的应用程序中 安全性和API之旅 准备在Heroku上生产一个Spring Boot应用程序
4.5K30发布于 2019-05-14 - 来自专栏阿杜的世界
Web应用安全
二、认证与授权 Web容器进行认证与授权的过程: 客户端:浏览器向容器请求一个web资源发出请求; 服务端:容器接受到请求时,容器在“安全表”中查找URL(安全表存储在容器中,用于保存安全信息),如果在安全表中查找到 安全概念 谁负责? 耗时程度 认证 管理员 中 高 授权 部署人员 高 高 机密性 部署人员 低 低 数据完整性 部署人员 低 低 四、Spring-Security Spring Security是专注于为Java应用提供认证 clickjacking、cross site request forgery等等 支持与Servlet API集成 支持与Spring MVC集成,但不限于此 这里我从Spring Guides找到了一个在web应用中使用 HTTPS HTTP协议是基于TCP构建的应用层协议;HTTPS协议是基于SSL/TLS协议之上的应用层协议,而SSL/TLS是基于TCP构建的协议。
2.2K30发布于 2018-08-06 Web安全应用
Web安全应用 任务环境说明: 服务器场景:match_win03-4-1(关闭链接) 服务器场景操作系统:Windows Server 2003 使用渗透机Kali Linux,访问靶机FTP服务,下载靶机网站中的部分源码并分析
8710编辑于 2025-10-23- 来自专栏云服务器购买
移动应用安全-腾讯云移动应用安全APP加固
腾讯云移动应用安全提供稳定、有效的移动应用安全服务,为用户提供移动应用全生命周期的安全解决方案 腾讯云移动应用安全详情点击查看 移动应用安全 MS 的简介 移动应用安全(Mobile Security 稳定、简单、有效,让移动安全建设不再是一种负担。 腾讯云移动应用安全的产品特性 全面 提供移动应用(APP)全生命周期的安全解决方案,有效提升应用整体安全水平。 坚固 腾讯云应用加固在不改 Android 应用源代码的情况下,将针对应用各种安全缺陷的加固保护技术集成到应用 APK,从而提升应用的整体安全水平,力保应用不被盗版侵权。 安全测评为用户提供优质的移动应用安全检测服务的同时,确保用户的移动应用检测数据的安全。腾讯安全测评检测能力包括:代码安全风险检测、漏洞扫描,恶意代码扫描,以及敏感词检测等服务。 那么移动安全的重点就在于提出应用开发需求时,应同时对移动应用的安全诉求进行明确说明;以及应用验收时,对于移动应用安全和兼容性的把控。
11.6K40发布于 2019-08-06 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全风险思考
另一方面则是面向私有云的FaaS平台,此类以开源项目居多,且均支持在Kubernetes上进行部署,常见的有Apache OpenWhisk[7]、Kubeless[8]、OpenFaaS[9]、Fission[10 netflixtechblog.com/starting-the-avalanche-640e69b14a06 [4] https://www.owasp.org/index.php/OWASP_Serverless_Top_10 [8] https://github.com/kubeless/kubeless [9 https://github.com/openfaas/faas [10] https://github.com /fission/fission 往期回顾(与该文章相关的往期公众号文章) 【云原生应用安全】微服务架构下API业务安全分析概述 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究 基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。
2.9K33发布于 2021-08-06 - 来自专栏架构驿站
【安全测试】安全之10种攻击途径解析
Web服务路由问题 Web服务安全协议使用WS-Routing服务,假如任何中转站被攻占,SOAP消息可以被截获。 8. 10.
58970编辑于 2022-03-25 - 来自专栏游戏安全攻防
APP应用安全检测
背景 目前APP发包上架的流程前,免不了需要对APP应用安全检测这个重要且必不可少的步骤流程,APP应用安全检测大部分采用采购第三方的APP安全检测产品(因为这块技术基础储备),也有部分企业基于开源的移动安全框架 该框架可以进行高效迅速的移动应用安全分析。 它的下载地址为 https://github.com/ajinabraham/Mobile-Security-Framework-MobSF APP应用安全检测的风险程度一般分为:高危、中危、低危。 因为APP应用安全检测没做好,那么APP就会面临被通报、下架的风险,这对企业来说是个非常致命的问题,不仅影响到产品的发展、同样也给企业发展带来一定的风险。 下面就分析下APP应用安全检测(需要动态检测和静态检测相结合),具体的检测维度和检测思路。
4K30编辑于 2022-03-31 - 来自专栏yuancao博客
云上应用安全
目录 课程介绍 1.WEB应用安全概述 web应用安全问题示例 web应用安全问题 OWASP十大安全漏洞列表(2017年) web组成部分及web安全分类 应用安全防护方法 应用安全防护工具 2. 通过阿里云WAF保护应用安全 什么是阿里云WAF? 关键业务欺诈场景 1.垃圾注册 2.登录撞库 3.营销作弊 通过阿里云WAF进行数据风控 风控原理 风控流程 课程介绍 1.WEB应用安全概述 web应用安全问题示例 ? web应用安全问题 ? OWASP十大安全漏洞列表(2017年) ? web组成部分及web安全分类 ? 应用安全防护方法 ? 应用安全防护工具 ? 阿里云WAF应用防火墙安全监测流程 ? 阿里云WAF接入方法 ? WAF的不同版本 ? 3.SQL注入及防护 什么是SQL注入攻击? ? SQL注入攻击的现象 ?
2.7K43发布于 2020-10-10 - 来自专栏啄木鸟软件测试
安全测试工具(连载10)
apktool是一个为逆向工程师打造的用于反编译Android二进制APP的工具。它可以将资源解码为几乎原始的形式,并在修改之后重建它们。本书介绍的apktool版本为:2.4.0。
57720发布于 2019-12-12 - 来自专栏FreeBuf
网络安全这10年
10年前,智能手机还没有广泛普及,Windows 7才刚刚发布,而网络安全更是一个小众的圈子,远非如今媒体记者笔下的常客。 从一个孤岛到一个自行其道的小世界。 网络安全这10年,风雨有过,辉煌有过,曾谷底呆过,也曾见高楼起。一群白帽子,从独行者,侠客,到归于企业麾下或是走出创业的一条路,他们为网络世界的安全而战。 一批网络安全企业,从0到1,见证网络安全走向合规和产业化,而穿插其中的,是这10年来一个个或许你还依稀记得的安全事件…… 2020年,网络安全再启程之际,笔者却想和你,再走一遍这10年。 而尘嚣过去,这场因为App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),而导致下载了被植入了恶意代码的iOS应用开发工具Xcode所引发的病毒事件,也让开发者在产品开发设计中对安全的重视程度提升 可以说,这一年,网络安全领域面临的威胁多种多样。 10年归0,2020年网络安全再启程!回顾20世纪的第2个十年,会发现,网络安全的一个个变革,似乎早就在10年间一个个看似普通的日子里埋下了伏笔。
99020发布于 2020-02-20 - 来自专栏程序人生丶
Docker学习路线10:容器安全
安全模式和实践 在开发、部署和操作容器时实施最佳实践和特定的安全模式对于维护安全环境至关重要。 最小特权:容器应以最小特权运行,只授予应用程序所需的最小权限。 版本控制:镜像应该进行版本控制,并存储在安全的容器注册表中。 安全访问控制 应对容器管理和容器数据应用访问控制,以保护敏感信息并维护整体安全姿态。 通过理解和应用容器安全的这些关键方面,您将能够确保容器化的应用程序和基础架构免受潜在威胁的保护。 镜像安全性 镜像安全性是在您的环境中部署Docker容器的一个关键方面。 ,您可以最小化漏洞的风险,并确保容器化应用程序的安全性。 通过专注于运行时安全,您可以确保在容器部署到您的环境后,它们仍然是安全的。旨在最小化潜在的攻击面,并持续监控威胁,以帮助保护关键应用程序和数据。
44620编辑于 2023-07-24 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(二)
2.3数据安全 如《【云原生应用安全】云原生应用安全防护思考(一)》一文中提到的,传统应用架构中,我们可以通过安全编码、使用密钥管理系统和使用安全协议的方式防止数据泄露,在微服务应用架构中,我们可以考虑使用 ,因而针对Serverless应用的安全防护各位读者可以大体参考《【云原生应用安全】云原生应用安全防护思考(一)》一文中传统应用安全的防护方式,尤其是应用程序的代码漏洞缓解、依赖库漏洞防护、数据安全防护 为了预防上述场景的发生,我们应当从底层进行资源隔离,例如可通过KataContainer[9]从上至下进行防护,再如可通过Kubernetes的网络策略(NetworkPolicy)[10]实现由左至右的网络层面隔离 /services-ec2.html [8]https://firecracker-microvm.github.io/ [9]https://github.com/kata-containers [10 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 【云原生应用安全】云原生应用安全防护思考(一) 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究
2.2K22发布于 2021-10-15 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(一)
一、概述 应用是云原生体系中最贴近用户和业务价值的部分,笔者在之前《云原生应用安全风险思考》一文中分析了云原生应用面临的风险,相信各位读者已经有所了解,本文为云原生应用安全防护系列的第一篇,主要针对传统应用安全 二、传统应用安全防护 从《云原生应用安全风险思考》一文中对传统应用风险的介绍,我们得知传统应用为云原生应用奠定了基石,因而笔者认为云原生应用安全防护也可参照传统应用安全防护,接下来笔者将为各位读者介绍传统应用的安全防护方法 2.4应用程序数据安全防护 笔者认为应用程序的数据安全防护应当覆盖安全编码、密钥管理、安全协议三方面。安全编码涉及敏感信息编码,密钥管理涉及密钥的存储与更换,安全协议涉及函数间数据的安全传输。 此外,一些开源项目可以帮助开发者避免敏感信息被硬编码至源码中,例如AWS的开源项目git-secrets[10]和Yelp的开源项目detect-secrets[11],各位读者可以参考。 snyk.io/ [8]https://github.com/rubysec/bundler-audit [9]https://cwe.mitre.org/data/definitions/534.html [10
2.4K12发布于 2021-09-27 - 来自专栏python基础文章
网络安全——应用层安全协议
座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 ---- 前言 本章将会讲解网络安全协议中应用层安全协议。 一.应用层安全协议 1.应用层安全威胁 应用层安全威胁是指针对应用程序、网络通信或数据传输过程中的安全漏洞和风险。 以下是一些常见的应用层安全威胁: SQL注入:攻击者通过在输入框中插入恶意SQL代码,试图窃取数据库中的敏感信息。 2.电子邮件安全协议 1.MIME协议 多用途互联网邮件扩展(Multipurpose Internet Mail Extensions.MIME)是当前广泛应用的一种电子邮件技术规范,基本内容定义于RFC2045 S/MIMEv2版本已经广泛应用在安全电子邮件上,得到产界业广泛认可,微软公司、Novell公司等都支持该协议。
86120编辑于 2023-10-17 - 来自专栏ThoughtWorks
10Hours 网页应用
以前段开发为特长,不放过技术大赛这样机会的刘旸,和几个同事打造的10Hours 受到了大家的好评。想知道何谓10Hours? 那就~ 最近公司举办技术大赛,我和同事一起制作了一个叫做10K Hours的Mobile Web App,可以帮助你通过一万小时的努力,成为某个领域的专家。 其中讲到了不少移动端Web开发的Best Practices,正好就用到了10K Hours这个应用上。 updateready:当新的缓存文件下载完成后触发,可以利用swapCache()来应用新的文件。 其中最重要的就是updateready这个事件,我们可以利用JavaScript绑定这个事件,在缓存更新的时候自动刷新来应用这些更新,例如: // Check if a new cache is available
81090发布于 2018-04-18 - 来自专栏让技术和时代并行
从 Kubernetes 安全到云原生应用安全
而且由于传统的安全工具是为静态环境构建的,考虑到云原生应用程序开发的动态和快速发展的性质,它们的效率通常不是太高。 尽管云原生架构使组织能够构建和运行可扩展的动态应用程序,但它并非没有挑战。 使开发人员具有安全意识 开发人员知道如何构建应用程序...... 但他们需要正确的工具、洞察力、流程和 文化 来安全地构建它们。 例如, OWASP 云原生应用安全 Top 10 提供有关云原生应用程序最突出的安全风险、所涉及的挑战以及如何克服这些风险的信息。 OWASP Top 10 鼓励将安全性集成到 CI/CD 管道、参数化查询、验证所有输入、实施错误处理、改进日志记录策略、利用安全框架的优势、保护静态数据和加密、减少敏感数据暴露等准则,实施安全访问控制等 正如开发人员安全平台的 5 大评估标准中所讨论的 , Cloud Native Instrumentation:提供深入了解应用程序运行时的工具,是非侵入式的,并且在云原生应用程序中可以很好地扩展 优先和全面的安全洞察
97230编辑于 2023-03-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号