很多师傅们都知道,大多数攻击的起源,尤其是应用层渗透的起源,都源于恶意数据的输入,以及多数安全设备的基础原理,基于恶意数据进行拦截,随着安全左移思想的深入,安全编码/安全设计的第一…
伪造之于安全信息安全的三大特性:机密性、完整性、可用性,而依据STRIDE模型,信息安全面临的八大威胁其中之一即为伪造。伪造,顾名思义即为伪装、假装真实,在安全领域即为假装正常的用…
数据加密作为数据安全的重要落地方案之一,数据加密所涉及到的场景过多,从传输(敏感数据加密传输)、使用与交互(隐私计算)、存储等全生命周期都有数据加密的要求,这里我仅以数据存储加密为…
近期研读了很多安全架构的文章,认证、授权、鉴权等很多师傅们也说了很多,包括现在业内层出不穷的数据泄露事件,很多也是由于未授权访问引起的,那么除了做好日常的API管理外,从开发的角度…
闲言碎语最近公司要求检查公司网站首页是否被挂了暗链,网上查了下对应脚本较少且,于是就写了一个关于获取网站的链接的脚本,随着要求的不断增加,再加上一些天马行空的想象,最后写了一款UR…
大多数师傅对认证应该很熟悉,常规的弱密码问题、认证类漏洞层出不穷,今天我主要是站在研发视角,去看待如何针对认证进行安全开发,或者说如何选取合适的认证场景来确保应用系统的安全认证。认…
注入类漏洞的危害性无需赘述,究其本质可以追溯到计算机设计之初数据与代码没有分离,没有分离原本没有问题,能用即可,但是当攻击者能够控制输入代码中的数据并且能够作为代码执行时,危害就显…
漏洞原理:点击劫持(Clickjacking),也称为“用户界面伪装攻击”(UI redressing attacks),是一种Web安全漏洞,攻击者利用它欺骗用户在不知情的情况下…
甲方工作以来,深感安全与研发的种种矛盾点,安全:为什么研发一点都不懂安全,研发:为什么安全一点都不懂开发?本着平衡的理念,开启了从开发视角着手如何降低代码漏洞与从安全测试视角着手如…
什么是攻击面分析?为什么要做攻击面分析?攻击面分析这个概念有很多师傅研究过,也有很多公司已经落地,攻击面分析很大,大到从资产管理、供应链管理、数据管理等方方面面,涵盖内部攻击面与外…