- 博客(10)
- 收藏
- 关注
RSS订阅原创 一家互联网金融公司的安全保护实践
前言我们是一家普通的 P2P 网贷平台,随着用户量和交易量的上涨,十几个人的研发团队面临了很大的挑战。双十一开始,平台受到了不少黑客的攻击,保证安全的重任也落到了我们研发团队的身上。 看到过一个数字,在2014年,超过160家 P2P 平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空。为了让平台更好的抵御外部侵袭,我们做了很多努力,下面就分享下我们在安全保护方面的一些实践。成熟的企业主
2015-12-10 10:33:11
820
原创 6大原因导致「最安全的程序」也会出现隐患!
尽管像银行、大型电商以及政府等大型机构在确保程序员写出最安全的软件上付出了巨大的努力:比如雇佣最有经验的程序员,使用昂贵的代码分析工具等等。但是媒体头条上还是经常可以看到大型组织出现的安全事故。这的确让很多企业非常沮丧,管理者都可能在想同样的问题:为什么付出这么多努力还是不能确保系统安全呢?是什么原因导致这样的情况发生呢?本文从6个方面来解释为什么编写安全的代码只能解决安全的一小部分问题:1,确保自
2015-12-09 14:30:40
617
原创 OWASP 10 大 Web 安全问题在 JEE 体系完全失控
虽然,JavaEE 内置了一些非常优秀的安全机制,但是它不能全面应对应用程序面临的各种威胁,尤其许多最常见的攻击:跨站攻击(XSS),SQL 注入,Cross-Site Request Forgery (CSRF), 与 XML eXternal Entities (XXE) 等。如果你不对系统做大量的安全测试、漏洞修补以及购买应用级安全防护工具,应用程序就完全暴露在这些攻击之下。幸运的是,开源 W
2015-12-08 10:55:43
641
原创 文章标题
「 买,买,买,」 无疑是「双十一」和 「双十二」期间使用频率最高的词。服饰、家电、婴幼儿众多品类齐降价,让中国老百姓们享尽了实惠。但对于电商平台来说,除了招呼好「顾客」 ,还要时时警惕着「黑客」 的到来。为了保障双十一期间网站的安全和稳定,首席信息安全官 CISO 应该会成为各大电商网站新的宠儿。可笔者调查发现,国内鲜有这一岗位,而且对于网站的安全防护还处于一个非常基础的水平。大多数网站存在「重大
2015-12-07 16:21:53
487
原创 安全工程师只能向拒绝服务漏洞 Parse Double 低头?
双十一的硝烟还未散尽,双十二就要来了。每逢节日期间,各大电商网站交易量暴涨,用户蜂拥而至抢购商品。那么这些电商平台的安全性如何?据不完全统计,乌云平台自成立以来,已收集到的电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了68.98%。对于安全工程师们来说,则需要加班加点保障网站的稳定性和安全性。数千亿的消费额,让所有的电商平台工程
2015-12-04 11:51:23
1001
原创 SQL 注入有病,安全专家有何良方?
SQL 注入攻击现状SQL 注入攻击是一个非常老的攻击方式,由于很多应用程序都存在 SQL 注入漏洞而且 SQL 注入方式与手段变化多端,尽管大型企业一般都花巨资购买多种安全保护系统,但是 SQL 注入攻击导致企业蒙受损失的新闻还是层出不穷:香港航空某站 SQL 注入(涉及156万乘客信息/268万机票信息/八千多员工信息)中石化车 e 族 APP 存在 SQL 注入漏洞之一(可跨9个库)海尔
2015-12-03 14:03:41
575
原创 为什么WAF(Web Aplication Firewalls)不能确保数据库安全?
警告:不要以为有了 WAF 的保护,数据库安全就万无一失了。事实上,数据库仍然存在很大的安全隐患。Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL 注入方面还是显得束手无策。背景知识:什么是 WAF?Web 应用防火墙(WAF)是一种基础的安全保护模块,主要
2015-11-26 10:59:48
624
原创 为什么WAF(Web Aplication Firewalls)不能确保数据库安全?
警告:不要以为有了 WAF 的保护,数据库安全就万无一失了。事实上,数据库仍然存在很大的安全隐患。Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL 注入方面还是显得束手无策。背景知识:什么是 WAF?Web 应用防火墙(WAF)是一种基础的安全保护模块,主要
2015-11-26 10:57:35
581
原创 让 Parse Double 漏洞无处藏身,工程师们必备神器!
我们很多人都会在网上购物买东西。但是,我们很多人都不清楚的是,很多电商网站会存在安全漏洞,比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。详细来说,如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务
2015-11-25 10:35:53
1691
原创 电商安全无小事,如何有效地抵御 CSRF 攻击?
现在,我们绝大多数人都会在网上购物买东西。但是很多人都不清楚的是,很多电商网站会存在安全漏洞。比如乌云就通报过,国内很多家公司的网站都存在 CSRF 漏洞。如果某个网站存在这种安全漏洞的话,那么我们在购物的过程中,就很可能会被网络黑客盗刷信用卡。是不是有点「不寒而栗」 的感觉?首先,我们需要弄清楚 CSRF 是什么。它的全称是 Cross-site request forgery ,翻译成中文的意思
2015-11-24 11:35:50
399
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人