15-03 软件安全

最新推荐文章于 2024-09-20 15:47:43 发布
最新推荐文章于 2024-09-20 15:47:43 发布
阅读量547 收藏
点赞数
分类专栏: 架构设计 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56709616/article/details/130748525
版权

系统安全

系统安全威胁

  • 病毒
  • 蠕虫
  • 特洛伊木马
  • Rootkit后门
  • 僵尸网络
  • 零日攻击
  • Webshell

操作系统防御

  • 杀毒软件:兵来将挡,水来土掩
  • 升级补丁:防止零日攻击
  • 限制:用户、网络、端口、程序、安全基准、不可变基础架构

杀毒软件检测机制

  • 特征型:模式匹配、指纹检测
  • 启发型:逻辑评估、人工智能、防止零日攻击
  • 完整性检查:通过CRC校验确认文件的完整性
  • 行为阻止:执行代码,监控它和操作系统的交互
  • 免疫系统:把自己变得像是已经被感染,博取同情
  • 沙箱运行:限制病毒和可疑代码的影响

数据库安全

SQL注入攻击

  • 联合注入
    http://server_ip/?id=-1 union select 1,database()
  • 布尔注入
    ?id=1’ and length(database)) > 1
  • 时间注入
    ?id=1’ and if(length(database)) > 1,sleep(5),1)

SQL注入防御

  • 过滤危险字符:逢林(union,sleep)莫入
  • 预编译语句:存储过程、JDBC prepareStatement
  • 参数化查询:Mybatis

其他数据库攻防

  • 推理攻击:欺骗实例、数据库分区、单元抑制、噪声扰动
  • 聚合攻击:数据库分区、视图
  • 拒绝服务:数据库集群、数据流控

Web安全

XSS跨站点脚本攻击

  • 反射型XSS:攻击用户浏览器
  • 存储型XSS:攻击服务器数据库和文件系统
  • DOM型XSS:利用DOM文档对象模型的漏洞

XSS跨站点脚本防御

  • 输入过滤:单引号、双引号、<、>等
  • 编码转换:HTML实体编码、JavaScript编码
  • Cookie保护:HttpOnly

CSRF跨站请求伪造攻击

在这里插入图片描述

CSRF跨站请求伪造防御

  • 请求来源验证:HTTP头部字段Referer
  • CSRF Token:后端验证随机Token
  • Cookie保护:设置SameSite,禁止Cookie跨域提交

案例分析

Google云安全架构

在这里插入图片描述

阳宝宝的向日葵
关注
专栏目录
软件与系统安全】笔记 - 目录 & 复习重点
框架科工:Framecraft
09-12 4788
软件与系统安全笔记
等保测评--计算环境安全测评
江南落花雨
07-20 2337
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。 ...
windows10企业版安装西门子博途V15---03安装仿真软件
hqwest的专栏
06-19 4620
到此博途软件,仿真软件安装完成,下一步,创建plc程序,经过这些步骤,才把环境安装好,网上很多的资料是瞎鸡巴扯,左抄一点,右复制一点,根本没有自己动手配置这个环境,哎,不但启不到作用,还伤心浪费时间精力,B站有些也是的,不是画面不清楚,模糊看不清楚,就是声音听不清楚,操作也不到位,演示不清楚,垃圾啊,网上的东西很多是,云里雾里的,看不明白,而我的操作都是完全完美的,正确的,可行的,兼容性好,上手可理解的。设置这个网卡的IP地址与本机的物理网卡的IP地址在同一个网段,下面这个是真实物理网卡,
VMware NSX 4.0 -- 网络安全虚拟化平台
sysin | SYStem INside
08-03 3384
产品名称更改: 随着 4.0.0.1 的发布,产品名称从 “VMware NSX-T Data Center” 更改为 “VMware NSX”。这个新名称更好地反映了 NSX 为客户带来的多方面价值。此更新在产品图形用户界面和文档中很明显。......
【愚公系列】2024年03月 《网络安全应急管理与技术实践》 025-网络安全应急技术与实践(数据库层-MySOL数据库程序漏洞利用)
热门推荐
时光隧道
02-16 5万+
MySQL数据库是一种开源关系型数据库管理系统,常用于网站开发和应用程序中的数据存储和管理。MySQL数据库程序是用于管理和操作MySQL数据库的软件程序。MySQL数据库和MySQL数据库程序都可能存在漏洞,被黑客利用进行攻击或非法访问。利用这些漏洞,黑客可以获取数据库中的敏感信息、修改或删除数据、执行恶意代码等。常见的MySQL数据库及其程序漏洞利用包括:SQL注入:黑客通过在输入参数中插入恶意的SQL语句,从而绕过应用程序的验证和过滤机制,获取数据库中的敏感信息或执行恶意操作。
软件测试之安全怎么做?
06-08 1万+
敏感数据:敏感数据的具体范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。典型的敏感数据包括口令、银行帐号、大批量个人数据、用户通信内容和密钥等。个人数据:指直接通过该数据或者结合该数据与其他的信息,可以识别出自然人的信息。
03 linux用户权限和软件安装与管理
柳杰的博客
12-06 9648
linux用户权限和软件安装与管理
网络工程师--网络安全与应用案例分析
mailtolaozhao的博客
04-25 1万+
网络工程师--网络安全与应用案例分析
等保测评--安全运维管理(一)
江南落花雨
09-04 2641
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。 安全运维管理(MMS) 环境管理 L3-MMS1-01 应制定专门的部门或人员负责机房安全,对机房出入进行管理,定期对机房供配电、空调、温湿度控制、消防等设施进行维护管理。 L3-MMS1-02 L3-MMS1-03 资产管理 介
软件开发文档的编写---软件研制任务书 (2015-03-14 17:55:03)转载▼ 标签: 软件 文档 任务书 需求 要求 分类: 软件过程改进 一. 简介 客户要
wendeng6780的博客
07-24 8663
转自:http://blog.sina.com.cn/s/blog_ec1f61c60102vegd.html 软件开发文档的编写---软件研制任务书  (2015-03-14 17:55:03) 转载▼ 标签:  软件   文档   任务书   需求   要求 分类: 软件过程改进
VVV CSIPImplementationGuide-V2.1-03-15-2018
06-01
《VVV CSIP Implementation Guide V2.1-03-15-2018》是一份关于CSIP(可能是“通信服务接口平台”或类似含义的缩写)的实施指南,版本为V2.1,发布日期为2018年3月15日。这份文档是2030.5通信指导文件的一部分,旨在...
SRA2021-G03-软件需求规格说明书组内评审1
08-08
软件需求规格说明书组内评审】是软件开发过程中的关键环节,主要目的是确保需求的完整性和准确性,以便后续的设计、编码和测试工作能够顺利进行。以下是对这些评审条目的详细解释: 1. **Vision & Scope 文档**:...
ac20150315:2015-03-15 班级代码
06-19
标题“ac20150315:2015-03-15 班级代码”指的是一个编程课程或者项目,可能是一个学习小组或班级在2015年3月15日那天的代码作业或教学内容。这个标题暗示了这组代码可能是用来教授Java编程语言的,因为标签明确指出...
PS2251-03 PS2303量产工具
09-29
此外,PS2251-03还集成了多种安全功能,如坏块管理、ECC纠错代码等,以保障数据的安全性和可靠性。其低功耗特性也使得它在便携式设备中广泛应用。 接着,PS2303主控芯片则是针对更高容量和更复杂应用的固态硬盘...
ABB NISA-03 用户手册.pdf
10-16
POF的最大传输长度为15米,而HCS则可达200米,具体取决于所使用的NISA-03通道。该说明中还提到了不同型号的NAMC和NDBU分支单元与相应电缆类型的配合使用情况。 为了正确安装和使用NISA-03,用户需要参考该手册中的...
【农信网-注册/登录安全分析报告】
09-16 1490
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
引领长期投资新篇章:价值增长与财务安全的双重保障
最新发布
Joker456123的博客
09-20 656
随着全球金融市场的不断开放和数字经济的快速发展,长期投资将在ZDS 项目的引领下,为投资者带来更加稳健和可持续的财富增长。在这一背景下,Zeal Digital Shares(ZDS)项目以其创新的数字股票产品,为全球投资者提供了一个全新的长期投资平台,旨在通过技术创新和社区治理,确保投资者的财务安全并推动资产的长期增值。通过建立活跃的社区,ZDS 项目鼓励投资者之间的交流和合作,共同推动项目的发展。这些创新不仅包括新的投资工具和策略,还包括改进的交易平台和用户体验,以帮助投资者更有效地管理他们的资产。
【网络安全 | 代码审计】PHP无参数RCE
等风来
09-17 647
一般情况下,RCE需要通过传递特定的输入(如URL参数、POST请求数据、表单数据等)来触发漏洞并执行恶意代码。而无参数RCE是一种特殊的远程代码执行漏洞,它的特点是通过调用多个函数(或利用系统中已有的代码路径)来实现远程代码执行,而无需显式的参数。
安全热点问题
大河之犬的博客
09-20 826
做得好的企业,会有一套系统用于快速查询哪些服务器运行了哪些特定的软件,以及软件的版本号,最好还能执行一些简单的指令,比如升级特定的软件,那打补丁就方便多了。下线的设备可能还要走相应的报废流程,一定要对密钥进行销毁。通过监控网络设备的流量,可以发现潜在的异常,比如连接数的突然增加或减少,这往往是问题的征兆。最后,人员变动特别是员工离职,除了进行账号与权限清理外,还需要有自动化的对比机制,比如,账号每天自动与HR或AD等系统对比,若发现问题及时报警处置,防止因工作疏忽导致的离职员工账号未清理类审计问题。
群创G150XNE-L03 TFT-LCD技术规格手册
此手册是设计、开发和集成G150XNE-L03到产品中的工程师的重要参考资料,他们需要根据这些规格来确保硬件和软件兼容性,同时满足产品设计的需求和标准。对于使用者来说,理解这些规格也有助于评估屏幕是否适合其特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值