- 博客(665)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 XHTML学习
XHTML是一个严格遵循 XML语法规则的 HTML 标准。它是 HTML4 的一种重构版本,结合了 HTML 的灵活性和 XML 的严格性,如今XHTML已经得到了所有主流浏览器的支持文档结构XHTML DOCTYPE 是强制性的中的 XML namespace 属性是强制性的、、 以及 也是强制性的元素语法XHTML 元素必须正确嵌套XHTML 元素必须始终关闭XHTML 元素必须小写XHTML 文档必须有一个根元素。
2024-09-20 16:06:21
220
原创 HTML常见语法设计
HTML 响应式 Web 设计(RWD)是一种用于创建网页的方法,使网页能够根据用户设备的屏幕大小、分辨率和方向进行自动调整,从而在不同设备(如手机、平板、台式机)上都能有良好的显示效果和用户体验。在 HTML 中,某些字符是预留的。元素用于表示页面中的独立、自包含的内容部分。为相同的类设置相同的样式,或者为不同的类设置不同的样式。元素用于定义页面中的独立区块或章节,这些区块通常具有相似的内容主题。例如,新闻网站的每一篇新闻报道、博客文章中的每个章节、产品介绍页面的各个产品细节部分等,都可以放在。
2024-09-20 16:05:04
475
原创 HTML常见标签
超链接可以是一个字,一个词,或者一组词,也可以是一幅图像,您可以点击这些内容来跳转到新的网站或者当前网站中的某个部分。在上面的代码中,我们将 # 符号和锚名称添加到 URL 的末端,就可以直接链接到 tips 这个命名锚了。应该将 h1 用作主标题(最重要的),其后是 h2(次重要的),再其次是 h3,以此类推。因为用户可以通过标题来快速浏览您的网页,所以用标题来呈现文档结构是很重要的。属性,你可以定义被链接的文档在何处显示。无序列表是一个项目的列表,此列项目使用粗体圆点(典型的小黑圆圈)进行标记。
2024-09-20 15:59:53
630
原创 HTML简介
HTML 是用来描述网页的一种语言。HTML 指的是超文本标记语言HTML 不是一种编程语言,而是一种标记语言标记语言是一套标记标签HTML 使用标记标签来描述网页例子:< html > < body > < h1 > 我的第一个标题 < p > 我的第一个段落。< html > < body > < h1 > 我的第一个标题 < p > 我的第一个段落。
2024-09-20 15:52:36
678
原创 安全热点问题
做得好的企业,会有一套系统用于快速查询哪些服务器运行了哪些特定的软件,以及软件的版本号,最好还能执行一些简单的指令,比如升级特定的软件,那打补丁就方便多了。下线的设备可能还要走相应的报废流程,一定要对密钥进行销毁。通过监控网络设备的流量,可以发现潜在的异常,比如连接数的突然增加或减少,这往往是问题的征兆。最后,人员变动特别是员工离职,除了进行账号与权限清理外,还需要有自动化的对比机制,比如,账号每天自动与HR或AD等系统对比,若发现问题及时报警处置,防止因工作疏忽导致的离职员工账号未清理类审计问题。
2024-09-20 15:30:47
804
原创 活动目录安全
为了对企业内部计算机、用户等资源进行统一管理,微软提出了活动目录(Active Directory,AD)的解决方案,不同于传统的工作组模式,它最大的优点是可以集中管理,包括统一身份认证、权限控制等攻击者也可以通过邮件钓鱼等方式控制内网一台机器,之后会进行各种试探,最终目标基本都会到活动目录,因为这里有全部用户信息。
2024-09-20 15:29:00
1222
原创 邮件安全治理
在发送邮件时,发送方会利用本域私钥加密生成DKIM签名,并将DKIM签名及其相关信息插入邮件头,而邮件接收方接收邮件时,通过DNS查询获得公钥,并验证邮件DKIM签名的有效性,从而确保在邮件发送的过程中,邮件不会被恶意篡改,保证邮件内容的完整性。针对此类问题,首先需要关注的是,邮件网关的钓鱼邮件防护能力;当你定义了你域名的SPF记录之后,接收邮件方会首先检查域名的SPF记录,来确定连接过来的IP地址是否包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回或丢弃处理。
2024-09-20 15:26:55
585
原创 业务安全治理
Nebula是国内安全公司威胁猎人团队开源的一款风控系统,重点解决恶意注册、账号被盗、内容欺诈三方面的业务安全问题,其系统架构如图所示:风控系统的工作方式:1、数据源层大数据风控的基础在于数据,全面、高质量的数据可以帮助我们准确地进行风险控制。用户基本信息,除了我们所熟知的姓名、身份证、银行卡、手机号外,还有学历信息、收入情况,甚至包含当前设备、当前位置等用户的征信数据,除了人行征信系统外,还有一些其他网贷平台上的逾期或黑名单信息,比如某网贷平台的黑名单数据。
2024-09-20 15:25:59
893
原创 数据安全治理
数据安全治理最为重要的是进行数据安全策略和流程制订。在企业或行业内经常发布《XX数据安全管理规范》,所有的工作流程和技术支撑都是围绕此规范来制订、落实,一般会包括组织架构及职责分工、数据分类与分级管理、数据生命周期(采集、使用、传播、存储、归档、销毁)安全要求、数据安全风险事件管理、数据安全管理考核与监督、数据安全管理培训等内容
2024-09-20 15:24:27
1764
原创 企业内网安全
随着Docker的兴起,有些商业蜜罐产品开始利用Docker+iptables转发来做调度,不同的Docker里运行各种不同的服务,比如RDP、SSH、Telnet、MySQL、Redis等,注意后端不再是一个模拟的交互环境,而是一个真实的服务,当我们用自动化脚本对网络上各种服务进行检测时,会触发蜜罐事件。在一些重要的场所,比如机房维护操作间电脑上,放一些精心准备的Word和Excel文件,一旦有人想将这些文件带离,在终端或网络上的DLP程序能及时发现;一旦有人请求这个域名,就表明其有一定的可疑性。
2024-09-20 15:22:24
1160
原创 移动应用安全
如果是合作伙伴APP访问,需要对其APP签名做校验。模拟器检测技术,一般是取一些模拟器特征,例如通过电话管理器攻取设备IMEI、IMSI,判断设备配置信息与Android模拟器设备配置默认值是否相同,检测设备是否有安装蓝牙设备硬件,判断当前设备WIFI MAC地址,检测是否具有QEMU虚拟机通道文件等。私有权限定义经常发生的风险是:定义了私有权限,但是根本没有定义私有权限的级别,或者定义的权限级别不够,导致恶意应用只要声明这个权限就能够访问相应的Content Provider提供的数据,造成数据泄露。
2024-09-20 15:20:34
1778
原创 互联网应用安全
有些企业管理员为了方便维护,在防火墙上直接对外开放Telnet、SSH、RDP的端口,这是非常不明智的,只要知道密码,黑客就可以通过这些端口获得交换机/服务器的权限,即使不知道密码,也可以通过暴力猜解密码获得登录凭证。一般大型企业的互联网出口或者业务系统会比较多,在日常防火墙维护过程中,难免会出现遗漏,所以需要有相应的机制来保障高危端口不对外开放,开放了要及时发现,这就需要端口扫描,常见的工具例如。稳妥起见,建议使用基于网络流量的数据库审计类产品,即将应用到DB的流量镜像给设备,由设备再还原出SQL语句。
2024-09-20 15:18:13
792
原创 内控合规管理
信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理,以及其他一些工作合规、内控、风险的关联合规管理是最基础的层面,合规管理的目标是避免违反内外部法律法规、规章制度、流程规范,避免因不合规导致的风险。内控比合规管理更进一层,内控不但要求合规,还要审视“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。风险管理,特别是全面风险管理,是风险管控的最高形式。风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。
2024-09-20 15:16:23
780
原创 企业安全设计的概述
从客户体验和便利性角度,开户信息及验证步骤越少越好,但是从信息安全角度,需要客户提供更多的个人信息,通过人脸识别、短信验证等步骤,才可以在客户不跟银行人员面对面接触的情况下,正确核验客户身份,确保客户开户意愿的真实性,既能保护客户不被假冒开户,也能够防止客户抵赖。举个例子,定安全目标时,常见的用词是“提高××水平”“加强××能力”“完善××措施”,这些目标是无法衡量的,因为不知道要提高到什么水平,加强到什么能力,完善哪些措施。目标的时限性是指目标是有时间限制的,没有时间约束的目标是没有办法衡量和评价的。
2024-09-20 15:14:42
608
原创 电子支付漏洞常见预防措施
用户在刷卡前后,保证卡片不离开自己的视线,当发现自己的卡片被收款人员异常操作时,立即停止刷卡。刷完卡后,保证卡片会立即归还给自己,防止卡落入攻击者手中。
2024-09-11 16:36:49
467
原创 支付环节攻击方式与漏洞类型
物理攻击、网络攻击和社会工程学攻击物理攻击是指通过物理接触方式对感知设备本身进行攻击(例如 IC 卡、射频卡等),包括但不限于卡号篡改、卡号覆盖、卡号复制、扇区密码破解、扇区数据未加密等。对于日常生活中常见的交易支付卡片主要有两种,低频 ID 卡和高频IC 卡,它们按照各自特性分别应用在我们日常生活中的方方面面。例如我们日常使用的水卡、电卡、饭卡、银行卡、燃气卡等等。对 ID 卡主要攻击方式为卡复制,对 IC 卡的攻击方式主要有卡数据嗅探、卡数据重放、卡复制、卡数据破解与篡改。
2024-09-11 16:34:40
1378
原创 电子支付原理
电子支付通用支付流程一般涉及四个主体:消费者、商家、金融机构以及移动运营商。电子支付的具体原理根据不同的支付方式有所不同,电子支付一般可以分为线下支付与线上支付。线下支付主要使用的通信技术有 RFID、NFC、蓝牙。线上支付一般通过短信、邮件、移动网络等完成。
2024-09-11 16:33:20
909
原创 电子支付漏洞概述
以目前应用最为广泛的线上电子支付技术为例,用户完成支付之前,需要借助 PKI(全称:Public Key Infrastructure,公钥基础设施)来和金融机构的服务接口建立一个经过 CA(全称:Certificate Authority,权威证书签发机构)认证身份的安全连接。但由于缺少实体卡的认证保护,付款者必须输入信用卡安全信息来证明自己持卡人的身份。针对身份认证问题,Mastercard,Visa 等卡组织推出了 3D Secure 协议,而第三方支付平台则会使用自己的身份认证协议。
2024-09-11 16:32:15
367
原创 OWASP Threat Dragon简介及安装
Threat Dragon是 OWASP 推出的一款开源威胁建模工具。它以 Web 应用程序或可安装的桌面应用程序的形式提供,适用于 MacOS、Windows 和 LinuxThreat Dragon包括系统图表和规则引擎,用于自动生成威胁/缓解措施。Threat Dragon 支持 STRIDE、LINDDUN、CIA、DIE和 PLOT4ai。
2024-09-10 19:17:30
272
原创 威胁建模攻击树和攻击库
攻击树(Attack Tree)是一种用于分析和描述系统安全的工具,广泛用于信息安全领域攻击树是一种结构化的方法,用于表示和分析对系统的潜在攻击。它以树状结构的形式展现,目标是通过将攻击的各种方法和路径组织在一起,帮助识别和防御安全威胁假设我们要分析一个网络系统的攻击树,目标是“非法访问系统的敏感数据”。攻击库是一个收集和组织各种攻击手段和工具的资源库,对于识别和理解系统中的潜在威胁非常有帮助。攻击工具汇集:攻击库可以包括各种攻击工具,从概念验证代码到充分开发的“武器化”可利用代码。
2024-09-10 19:14:30
1018
原创 威胁建模STRIDE框架
威胁建模框架可帮助你生成潜在威胁的列表,并找到降低或消除风险的方法。引入威胁建模框架目的是在开发生命周期的早期尽可能多地发现并修复问题。等待时间越长,客户的风险就越高一般使用 STRIDE 框架中的六个主要威胁类别来发现安全设计问题:类别说明欺骗冒充某人或某物篡改未经授权更改数据否认性不宣称对执行的操作负责信息泄露未经许可查看数据拒绝服务系统繁忙权限提升拥有本不应该拥有的权限每个威胁类别都与安全控制关联,如下:类别安全控制描述欺骗身份验证其身份是否如其所述。
2024-09-10 19:10:54
1235
原创 威胁建模数据流关系图
数据流关系图由呈现为形状和线条的元素构成。数据流关系图以图形方式表示系统的各个主要部分。在威胁建模中使用元素及其交互,可以帮助确定威胁并降低系统风险,提高效率数据流图这项技术本身存在的不足是:关注组件的交付是还是相对偏数据流动视角,不少人的交互场景如钓鱼、敏感功能误操作不能表示出来;不能完全遍历出程序的全部功能(除非图足够复杂);基于程序设计图之上绘制却又丢失了设计细节,无法自动化;数据流会额外显示出基础设施引起的风险,并不仅仅是业务自身的安全。
2024-09-10 19:05:06
998
原创 威胁建模深度层
工程师利用威胁建模能够以图形方式向他人描述系统根据要构建的系统和所需的上下文,威胁模型可能变得太复杂或级别太高。数据流关系图深度层可帮助你了解要包含多少上下文分析高度敏感数据的过程第三方身份验证系统威胁建模中大致使用了四个深度层:层说明0这层对于所有系统都是必需的,并且包含主要系统部分。1这层对于大多数系统是必需的,并且包含每个系统部分的示意图。2这层对于高度敏感的系统是必需的,并且包含系统子部分的示意图。3这层对于关键级别系统或内核级别系统是必需的,并且包含每个过程的示意图。
2024-09-10 19:02:14
472
原创 威胁建模中的评估问题列表
在企业中发现安全漏洞的最有效方法是,创建基础结构威胁模型。 它以一组评估问题开始。基础结构威胁模型有助于可视化企业是如何被访问、连接和保护的。 这样,可以更轻松地识别使用哪些安全控制来帮助减少或消除风险
2024-09-10 19:00:52
745
原创 威胁建模概述
想象你在建造一座房子,对安全结果的影响你越早决定越重要。由木制墙及大量落地窗构建的房子会比砖石及少量窗户的房子的潜在危险更大,因此要根据房子建在哪里等因素选择一个合理的方案。如果在决定之后再更改,成本通常会很高。当然,作为补救,你可以在窗子上加防盗护栏,但是,若能最初就有一个更合理的设计不是更好吗?这种权衡也可以用于技术当中。威胁建模可以帮你发现设计上的问题,甚至在你一行代码都没写的时候即可发现问题,而此时也是发现这类问题的最佳时机。威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。
2024-09-10 18:58:29
768
原创 支付安全常见问题
防篡改与防抵赖一般也称为数据的完整性和真实性验证问题,通常使用签名验签技术解决签名:发送者将数据通过特定算法和密钥转换成一串唯一的密文串,也称之为数字签名,和报文信息一起发给接收方。验签:接收者根据接收的数据、数字签名进行验证,确认数据的完整性,以证明数据未被篡改,且确实来自声称的发送方。如果验签成功,就可以确信数据是完好且合法的。身份验证:确认支付信息是由真正的发送方发出,防止冒名顶替完整性校验:确认支付信息在传输过程中未被篡改,每一笔交易都是完整、准确的。
2024-07-25 16:06:58
1144
原创 短链安全漏洞
短网址服务可以提供一个非常短小的URL以代替原来的可能较长的URL,将长的URL地址缩短。用户访问缩短后的URL时,通常将会重定向到原来的URL。短网址服务主要起源于一些具有字数限制的微博客服务,但是现在广泛用于短信、邮件等。短网址服务的基本流程:用户将长网址提交到短网址服务中,之后短网址服务经过URL处理之后,利用转换算法对长网址进行转换,最后分别将长网址和短网址存储到数据库之中。部分短网址服务为了防止出现对短地址进行连续转化或者提供一些展示长网址TITLE的功能,所以会对长网址进行访问。
2024-07-15 17:26:05
1029
原创 【数据安全】数据脱敏方案总结
数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。是数据库安全技术之一在数据脱敏过程中,通常会采用不同的算法和技术,以根据不同的需求和场景对数据进行处理。
2024-07-12 14:37:10
1615
原创 【数据安全】敏感字过滤方案总结
相比较于 Trie 树,DAT 的内存占用极低,可以达到 Trie 树内存的 1%左右。当我们要查找对应的字符串“东京热”的话,我们会把这个字符串切割成单个的字符“东”、“京”、“热”,然后我们从 Trie 树的根节点开始匹配。Trie 树 也称为字典树、单词查找树,哈希树的一种变种,通常被用于字符串匹配,用来解决在一组字符串集合中快速查找某个字符串的问题。如果使用上面提到的 DAT 来表示 AC 自动机 ,就可以兼顾两者的优点,得到一种高效的多模式匹配算法。3、敏感词数据(涉黄政黑)
2024-07-08 19:34:29
704
原创 【数据安全】常见加密算法总结
加密算法是一种用数学方法对数据进行变换的技术,目的是保护数据的安全,防止被未经授权的人读取或修改。加密算法可以分为三大类:对称加密算法、非对称加密算法和哈希算法(哈希算法是一种单向过程,它将输入信息转换成一个固定长度的、看似随机的哈希值,但这个过程是不可逆的,因此严格上来说,哈希算法其实不属于加密算法)保存在数据库中的密码需要加盐之后使用哈希算法(比如 BCrypt)进行加密。保存在数据库中的银行卡号、身份号这类敏感数据需要使用对称加密算法(比如 AES)保存。
2024-07-08 19:02:27
823
原创 【认证授权】权限系统设计详解
权限管控可以通俗地理解为权力限制,即不同的人由于拥有不同权力,他所看到的、能使用的可能不一样。对应到一个应用系统,其实就是一个用户可能拥有不同的数据权限(看到的)和操作权限(使用的)。ACL 模型:访问控制列表DAC 模型:自主访问控制MAC 模型:强制访问控制ABAC 模型:基于属性的访问控制RBAC 模型:基于角色的权限访问控制ACL 是最早的、最基本的一种访问控制机制,是基于客体进行控制的模型,在其他模型中也有 ACL 的身影。为了解决相同权限的用户挨个配置的问题,后来也采用了。
2024-07-08 16:43:49
1074
原创 安卓安全概述
系统应用层(System Apps)应用程序框架层(Java API Framework)系统运行时库层(Native C/C++ Libraries和Android Runtime)硬件抽象层(HAL)Linux内核层(Linux Kernel)Android系统是基于Linux内核的,通常使用Java语言编程。Android拥有一些安全特性来保护用户数据和资源。其中包括通过Linux内核的强大安全性、权限模型、应用程序签名以及所有应用程序的沙箱方法。
2024-07-04 10:47:57
912
原创 HTTP参数污染漏洞
HTTP参数污染攻击是指通过在HTTP请求中插入多个同名参数,混淆服务器对参数的处理逻辑,进而实现攻击目的。这种攻击可以在URL查询字符串、POST数据和HTTP头部中进行。例如,以下是一个漏洞的例子:交易可能会错误地计入accountC而不是accountA,展示了HPP操纵交易或其他功能(如密码重置、双因素认证设置或API密钥请求)的潜力。
2024-06-07 16:26:41
591
1
原创 【攻击绕过】IP速率限制绕过
应尝试对目标功能的API接口执行暴力攻击,例如/api/v3/sign-up,包括/Sing-up,/SignUp,/singup,/api/v1/sign-up,/api/sign-up等替代选项。通过改变参数值或向请求添加非重要参数,可以规避网关的速率限制逻辑,使每个请求看起来是独一无二的。建议修改其他请求标头,如用户代理和Cookie,因为这些也可以用于识别和跟踪请求模式。部署代理网络以将请求分布到多个 IP 地址可以有效地绕过基于 IP 的速率限制。实例,可以调整以模拟来自不同IP的请求。
2024-06-05 21:25:22
520
原创 SSTI注入漏洞
服务器端模板注入是一种漏洞,当攻击者可以将恶意代码注入到在服务器上执行的模板中时发生Jinja是一种常用的用于Web应用程序的模板引擎。在这段易受攻击的代码中,用户请求中的 name 参数直接通过 render 函数传递到模板中。这可能允许攻击者向 name 参数中注入恶意代码,导致服务器端模板注入。将负载注入到name参数中。此负载可以包含Jinja模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,潜在地控制服务器。
2024-06-05 18:06:01
1119
1
原创 电子邮件注入
电子邮件注入是一种电子邮件安全漏洞,攻击者通过在输入字段中注入特殊字符或命令来操纵电子邮件的内容。这通常发生在电子邮件表单或应用程序没有正确验证和过滤用户输入时。
2024-06-03 18:34:53
376
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人