安全设计

研发安全 | 一文吃透认证体系的内核

认证,作为应用系统的大门,也作为研发安全的第一道门槛,很多师傅们与研发人员都清楚,这里我想从综合研发、安全(含SDL、安全测试)的视角,聊一聊认证的内核,即cookie、sessi…

研发安全 | 输入验证安全设计剖析

很多师傅们都知道,大多数攻击的起源,尤其是应用层渗透的起源,都源于恶意数据的输入,以及多数安全设备的基础原理,基于恶意数据进行拦截,随着安全左移思想的深入,安全编码/安全设计的第一…

从架构与设计视角如何降低身份认证类的安全风险

身份认证,作为应用系统的大门,其重要性不言而喻,从技术视角来看,各类认证类协议提供了一体化解决方案,如oauth、sso等,但是从产品设计\安全设计视角,如果去做一套认证方案,这个…

安全设计 | 企业安全开发生命周期(SDL)实践

背景SDL安全设计的背景是微软提出的安全开发生命周期(SDL),这是一种从安全角度指导软件开发过程的管理模式。在软件开发过程中,微软总结出若干核心的安全设计原则:基本隐私、默认安全…