- 博客(13)
- 收藏
- 关注
RSS订阅转载 运行 Docker 容器时的安全风险:别丢了你的套接字
我们都遇到过这种情况:你只是想尝试一段命令行,但安装进程却如同抵押贷款申请那般繁琐。如果不是强制要求完成这么多步骤,你的开发环境会被永远不会再使用的库弄乱。自然, Docker 来了以后,你惊异地发现尝试一个新工具变得更容易了。但它是不是太容易了?也许是时候问问自己:在你寻求一个简单命令行工具...
2016-02-16 11:00:00
90
转载 一篇文章让你读懂 OpenStack 的起源、架构和应用
OpenStack 是一个面向 IaaS 层的开源项目,用于实现公有云和私有云的部署及管理。拥有众多大公司的行业背书和数以千计的社区成员, OpenStack 被看作是云计算的未来。目前 OS 基金会里已有500多个企业赞助商,遍布世界170多个国家,其中不乏 HP 、 Cisco 、 Del...
2016-02-01 11:22:00
152
转载 思考 Swift 中的 MirrorType 协议
Swift中的反射非常有限,仅允许以只读方式访问元数据的类型子集。或许 Swift 因有严格的类型检验而不需要反射。编译时已知各种类型,便不再需要进行进一步检查或区分。然后大量的 Cocoa API 会立即给实例分配“AnyObject”类型,用户只能想方设法去做类型匹配。而这里将回顾 Sw...
2016-01-29 16:49:00
90
转载 用 NSURProtocol 注入测试数据
在之前的几篇博文中,笔者介绍过访问异步网络的单元测试方法及如何使用模拟对象来进一步控制单元测试的范围。在今天的教程中,笔者将展示另一种方法,即:通过自定义 NSURProtocol 类来获取静态测试数据,从而为测试提供可靠的数据。几个月前,Gowalla 在 GitHub 上公开了他们用于 ...
2016-01-29 15:47:00
93
转载 如何使用 HTTP 响应头字段来提高 Web 安全性?
在 Web 服务器做出响应时,为了提高安全性,在 HTTP 响应头中可以使用的各种响应头字段。X-Frame-Options该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。X-Frame-Opti...
2016-01-29 13:08:00
65
转载 OWASP 10 大 Web 安全问题在 JEE 体系完全失控
虽然,JavaEE 内置了一些非常优秀的安全机制,但是它不能全面应对应用程序面临的各种威胁,尤其许多最常见的攻击:跨站攻击(XSS),SQL 注入,Cross-Site Request Forgery (CSRF), 与 XML eXternal Entities (XXE) 等。如果你不对系...
2015-12-08 10:57:00
93
转载 消除电商网站安全隐患,安全工程师不妨试试 RASP!
「 买,买,买,」 无疑是「双十一」和 「双十二」期间使用频率最高的词。服饰、家电、婴幼儿众多品类齐降价,让中国老百姓们享尽了实惠。但对于电商平台来说,除了招呼好「顾客」 ,还要时时警惕着「黑客」 的到来。为了保障双十一期间网站的安全和稳定,首席信息安全官 CISO 应该会成为各大电商网站新的...
2015-12-07 16:26:00
86
转载 安全工程师只能向拒绝服务漏洞 Parse Double 低头?
双十一的硝烟还未散尽,双十二就要来了。每逢节日期间,各大电商网站交易量暴涨,用户蜂拥而至抢购商品。那么这些电商平台的安全性如何?据不完全统计,乌云平台自成立以来,已收集到的电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了6...
2015-12-04 11:53:00
144
转载 SQL 注入有病,安全专家有何良方?
SQL 注入攻击现状SQL 注入攻击是一个非常老的攻击方式,由于很多应用程序都存在 SQL 注入漏洞而且 SQL 注入方式与手段变化多端,尽管大型企业一般都花巨资购买多种安全保护系统,但是 SQL 注入攻击导致企业蒙受损失的新闻还是层出不穷:香港航空某站 SQL 注入(涉及156万乘客信...
2015-12-03 14:06:00
105
转载 安全防护就像猫鼠游戏!最好的解决方案是啥?
搞过安全的人都知道,安全防护就像猫鼠游戏,没有起点也没有终点。任何号称 100% 保障系统安全的产品都是扯淡。在实践中,最好的解决方案是提高黑客的攻击成本,让黑客难以攻破,付出的成本比得到的收益更高,因此知难而退,转而寻找其他目标。业内普遍认为基于层级的防御是提高系统防御能力的有效方法。基于...
2015-11-30 15:22:00
106
转载 为什么WAF(Web Aplication Firewalls)不能确保数据库安全?
警告:不要以为有了 WAF 的保护,数据库安全就万无一失了。事实上,数据库仍然存在很大的安全隐患。Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL...
2015-11-26 11:06:00
70
转载 为什么WAF(Web Aplication Firewalls)不能确保数据库安全?
警告:不要以为有了 WAF 的保护,数据库安全就万无一失了。事实上,数据库仍然存在很大的安全隐患。Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL...
2015-11-26 11:00:00
66
转载 让 Parse Double 漏洞无处藏身,工程师们必备神器!
我们很多人都会在网上购物买东西。但是,我们很多人都不清楚的是,很多电商网站会存在安全漏洞,比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。详细来说,如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的...
2015-11-25 10:48:00
166
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人