摘要:了解了攻击者利用的一些原理,就对应的可以找到一些对应措施在服务端验证的字段。因此,从某些方面来说,是相对安全的。个人觉得相对安全的做法就是既验证,同时也校验。整个过程虽然比较难,但这让自己对于有了更深刻的认识。 CSRF CSRF(Cross Site ...
摘要:年月,遭到了攻击,这个事件足以警示我们。自从年双十一正式上线,累计处理了亿错误事件,付费客户有金山软件百姓网等众多品牌企业。 译者按: 10 年前的博客似乎有点老了,但是XSS 攻击的威胁依然还在,我们不得不防。 原文: XSS - Stealing Cookies ...
阿里聚安全小编曾多次报道了官方应用市场出现恶意软件的事件,让大家在下载APP的时候三思而后行。 最近多家安全公司组成的安全研究小组发现了一个新的、传播广泛的僵尸网络,它是由成千上万的Android智能手机组成。 showImg("https://segmentfault.com/img/...
摘要:什么是譬如说,你的站点已经启用了,甚至已经被固化到了浏览器内部。证书颁发机构授权,简称是一项借助互联网的域名系统,使域持有人可以指定允许为其域签发证书的数字证书认证机构的技术。首先添加解析记录,指向你服务器的外网然后添加记录。 什么是...
摘要:经过一系列走访排查,最终定位此现象只发生在阿里云的经典网络环境下。但是在阿里云经典网络环境中,无论如何配置安全组功能,表中始终无法匹配进入主机栈的数据包。 近期国内很多用户曝出在阿里云的环境中无法使用Rancher的VXLAN网络,现象是跨主机的...
摘要:应用了哈希签名的密码学技术,相比的方式就是服务端可以不用在内存或者缓存存放,能节省存储资源,不过同时服务器需要通过计算来验证也浪费了计算资源。因为用了哈希密钥签名的技术,这样就可以防止篡改内容。这样的安全防护就能抵御所有的攻击了。 sh...
摘要:网站可以选择使用策略,来让浏览器强制使用与网站进行通信,以减少会话劫持风险。谷歌想出了一个办法把想启用的所有站点的域名预先写进浏览器代码不就好了。谷歌维护了一个名为的网站,专门用于申请让浏览器给各站点内置开启支持。 由于 Let"s Encrypt...
摘要:二漏洞成因分析在协议中,最小的发送数据包的单位是一个。这次漏洞的起因是对于属于同一个的的字段没有校验前后是否一致,导致写入堆的时候缓冲区溢出。可以部署在堆上,然后在程序中寻找合适的把栈指针迁移到堆上就行了。 作者:栈长@蚂蚁金服巴斯光...
摘要:它使用哈希值检查确保第三方资源的完整性。只要开发者提供了被需下载资源的哈希值,浏览器就可以检查实际下载的文件是否与预期的哈希值匹配。网上也有现成的哈希值生成器,方便好用与你可以使用内容安全政策强制要求当前页面所有脚本加载标签启用。 出...
摘要:暑假的时候在学习了并成功运用到了项目中。这是提供的一个安全权限控制框架,可以根据使用者的需要定制相关的角色身份和身份所具有的权限,完成黑名单操作拦截无权限的操作。用户通过登陆操作获得我们返回的并保存在本地。 暑假的时候在学习了 Spring ...
摘要:在容器领域内,已毋庸置疑成为了容器编排和管理的社区标准。客户端无需连接到每个的,而是直接连接负载均衡器的地址。通过这样的操作,使用持续交付和部署方法论的快速开发和部署周期将会成为常态。 在容器领域内,Kubernetes已毋庸置疑成为了容器编排...
摘要:近期的工作都和交易有关,写代码都特别谨慎,前面说过前端如何防范跨站请求伪造攻击,这次准备简单说说防范点击劫持。有两种方式可以防范。使用防范判断顶层视口的域名是不是和本页面的域名一致,如果不一致就让恶意网页自动跳转到我方的网页。 近期的...
摘要:隔离使用容器,内核被设计为在主机上的容器之间提供隔离。对于而言,如果应用程序受到威胁,这将降低攻击向量对系统其他部分的影响。月日,北京海航万豪酒店,容器技术大会即将举行。 每当一项新的软件技术出现,InfoSec团队都会有点焦虑。理由是他们...
摘要:用户很难逃过一劫,即使用户取消安装提示,该提示仍然会立即弹出。该恶意没有图标,一旦安装,恶意程序会立即在后台运行。该恶意软件的后门被命名为,目的是误导用户认为它是一个合法的系统应用。 Android系统似乎已经成为世界各地病毒作者的首选目标...
摘要:炎炎夏日,在北京国家会议中心举办的网络安全生态峰会以新安全共担当为题,给这个夏日带来一丝凉意,让我们来看看会议的日程安排吧。文章末尾有报名地址哟主会场议程下午分会场议程分会场议程下午会议免费报名地址请点击 2017炎炎夏日,在北京国家会议...
摘要:之前小编还说系统似乎已经成为世界各地病毒作者的首选目标,但是近日一份安全研究报告让小编啪啪打脸的移动安全报告显示,近三个季度内,在上运行的恶意软件增加了倍多,而设备上的恶意软件仍基本持平。漏洞预计今年将高达,同比增加了倍。 之前小编还...
摘要:首先要准备一个环境,安装插件,本人用的是提取的轻量级环境,所以直接下载官网的源码,解压后找到文件夹复制到环境目录的文件夹里即可。使用方法首先引入确定起始和结尾,无论多复杂都可以转换运行后输出结果 概述 两种情况,一种给的是IP 范围,给了...
摘要:阿里聚安全移动安全专家陵轩在网络安全生态峰会上分了渠道攻防的那些事儿。反进程枚举反越狱检测完美伪造日活业务数据阿里聚安全渠道反作弊解决方案阿里聚安全移动安全专家陵轩分享了阿里的渠道反作弊解决方案,独创五层识别模型。 移动互联网高速发展...
摘要:从最大的同性社交平台获取数据好了,言归正传,回到题目。乌云密布的爬虫百度网盘这件事,是我不想看到的,这类安全问题的一个共同特点用户自身确实存在问题。 本文作者:夏之冰雪,i春秋签约作家 《我在百度网盘上看到上万条车主个人信息,企业、政府...
摘要:注意一定要在重启计算机前添加防火墙规则,否则会导致再也无法连接。 一个安全合规的问题,前一阵同事在做安全合规的时候,重启windows服务器后,远程桌面mstsc再也无法登陆到该服务器上了,幸亏是云主机,找用户用云管理软件登上去恢复了,现整理问题...
摘要:缘起一次忘记密码很自然就点了忘记密码想重置下幸亏邦定了手机号省去不少麻烦但是腾讯真的没有让我失望最后一步设置新密码的时候总是提示超时这就奇了怪了是不是出现了习惯性地按下了结果让人哭笑不得这竟然用明文递交新密码竟然用明文递交新密码竟然用...
摘要:导读在上篇文章中谈到了最近基于搭建了一个简易的后台页面框架,在这篇文章中将其与结合,算是之前在学习资料收集进阶篇中的最后一个项目案例,希望能对大家有些帮助。 导读: 在上篇文章中谈到了最近基于Vue+zhengAdmin 搭建了一个简易的后台页面框架...
摘要:微信任意用户密码修改漏洞漏洞描述在微信官方的首页上发现了找回密码功能。选择通过手机号码找回密码。提交成功,输入新密码。网易邮箱可直接修改其他用户密码描述这次我们看一个邮箱的找回密码漏洞,这个还真和上面的方式有点不一样。 来自 GitChat ...
ChatGPT和Sora等AI大模型应用,将AI大模型和算力需求的热度不断带上新的台阶。哪里可以获得...
一、活动亮点:全球31个节点覆盖 + 线路升级,跨境业务福音!爆款云主机0.5折起:香港、海外多节点...
大模型的训练用4090是不合适的,但推理(inference/serving)用4090不能说合适,...
89542767
社区管理员
白马啸西风