安全
关注
分享
扫一扫
文章平均质量分 76
OneAPM官方技术
北京蓝海讯通科技股份有限公司(以下简称 OneAPM)是一家领先的IT运维管理软件厂商。公司于2008年成立于北京,始终秉承「让运维更加智能」的企业使命,致力于为中国的企业级用户提供一体化的智能运维解决方案。OneAPM 通过10年以上的持续研发和不断创新,目前拥有国内最完整的 IT运维管理产品线和智能探针技术。公司的产品和服务在运 营商、金融、政府、互联网、教育、能源、交通、军工等多个行业获得了广泛应用和一致好评。
展开
-
网页浏览器知道我们的哪些信息?(2)
本文最早发布于 SecureMac 博客,其第一部分介绍了网络浏览器存储了哪些用户数据。在第二部分,将解释这些数据对用户的隐私有何影响。本文系国内 ITOM 管理平台 OneAPM 编译呈现。原创 2016-06-21 11:01:32 · 1473 阅读 · 1 评论 -
DevSecOps 实施篇!系列(二)
想在自己公司建立 DevSecOps 计划?没问题,企业规模无论大小,都可轻松实现。这里有5个基本的 DevSecOps 原则可以帮助你启动。当然,如果你对 DevSecOps 还不太熟悉,不妨先看看第一篇文章《什么是 DevSecOps?系列(一)》。原创 2016-03-14 17:55:07 · 1001 阅读 · 0 评论 -
DevSecOps 实施篇!系列(二)
想在自己公司建立 DevSecOps 计划?没问题,企业规模无论大小,都可轻松实现。这里有5个基本的 DevSecOps 原则可以帮助你启动。当然,如果你对 DevSecOps 还不太熟悉,不妨先看看第一篇文章《什么是 DevSecOps?系列(一)》。原创 2016-03-14 17:38:49 · 394 阅读 · 0 评论 -
企业应用程序安全的新「守护神」
Aberdeen 曾提出一份报告,针对机构应该如何优先管理积极风险的问题,提出了考虑将 Runtime Application Self-Protection (RASP) 作为企业应用程序安全的主流选择的建议。企业应用程序安全新方案1.企业的应用程序组合数量庞大、复杂且笨重,对业务影响极大不管从哪个方面来看,应用程序组合对企业实现战略业务目标都至关重要。 然而,典型的企业应用程序组合又总是数量庞原创 2016-02-29 10:57:35 · 388 阅读 · 0 评论 -
别让安全问题拖慢了 DevOps!
DEVSECOPS 所面临的挑战敏捷开发和 DevOps 方法的出现使软件开发的速度与质量都有所提升,但它们不经意地也为安全机构增压不少。从前的安全策略是基于静态数据的,而在产品上线前才应用这些策略,或手动调整规则,会使设定策略的时间非常紧张,从而影响到发布产品的质量,增加出错的风险,拖慢整个 DevOps 周期。同时,使用 DevOps 配置工具来设定安全策略,也会使公司暴露于风险之中,因为这些工翻译 2016-03-23 15:48:22 · 576 阅读 · 0 评论 -
静态分析安全测试(SAST)优缺点探析
静态分析安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性,那么采用静分析安全测试的方法有什么优缺点呢,且让小编给你说道说道。原创 2016-02-26 17:02:20 · 1074 阅读 · 0 评论 -
静态分析安全测试(SAST)优缺点探析
静态分析安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性,那么采用静分析安全测试的方法有什么优缺点呢,且让小编给你说道说道。原创 2016-02-26 16:50:47 · 2952 阅读 · 1 评论 -
网站安全:你面临2个至关重要的挑战!
近期的 NAGW(National Association of Government Web Professionals)会议让笔者收获颇深。该会议旨在通过聚集来自联邦/州/地方市政府网络专家来探讨可能存在的领域内机构、教育以及合作。而通过本次会议,笔者不仅了解到了政府在相关方面的动作,整个行业内网络安全所面对的一些挑战同样被重新定义。原创 2016-03-10 11:16:59 · 547 阅读 · 0 评论 -
网站安全:你面临2个至关重要的挑战!
近期的 NAGW(National Association of Government Web Professionals)会议让笔者收获颇深。该会议旨在通过聚集来自联邦/州/地方市政府网络专家来探讨可能存在的领域内机构、教育以及合作。而通过本次会议,笔者不仅了解到了政府在相关方面的动作,整个行业内网络安全所面对的一些挑战同样被重新定义。原创 2016-03-10 10:58:20 · 605 阅读 · 0 评论 -
应用安全的重要性!再怎么强调都不过分的5大理由
在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec)对于企业安全格局如此重要的五大原因原创 2016-03-18 18:38:41 · 1544 阅读 · 0 评论 -
你所不知道的黑客工具之 EK 篇
EK(Exploit kits)是指一套利用恶意软件感染用户电脑发起攻击的黑客工具,时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。原创 2016-03-28 16:56:20 · 1791 阅读 · 0 评论 -
你所不知道的黑客工具之 EK 篇
EK(Exploit kits)是指一套利用恶意软件感染用户电脑发起攻击的黑客工具,时下最著名的有 Angler EK、Fiesta EK、Hanjuan EK、Nuclear EK、Neutrino EK。原创 2016-03-28 17:09:12 · 573 阅读 · 0 评论 -
网页浏览器知道我们的哪些信息?(1)
本文最早发布于 SecureMac 博客,主要介绍网络浏览器存储了哪些用户数据,这些数据对用户的隐私有何影响。文章系国内 ITOM 管理平台 OneAPM 编译呈现。原创 2016-06-20 16:19:48 · 2419 阅读 · 0 评论 -
OneASP 安全公开课,深圳站, Come Here, Feel Safe!
在安全攻击频发的今天:如何构建完善的安全防护壁垒?如何借助威胁情报改善安全态势?如何检测新形式下的漏洞?答案,就在 5 月 28 日 OneASP 安全公开课。原创 2016-05-20 12:43:41 · 501 阅读 · 0 评论 -
Forbidden Attack:7万台web服务器陷入被攻击的险境
RASP,Runtime Application Self-protection,实时应用自我防护,是一种最新的应用层防护技术。能够克服上述问题,在运行时环境结合应用上下文防护,代码级定位漏洞,完爆Forbidden Attack等常见攻击。原创 2016-05-31 14:52:44 · 415 阅读 · 0 评论 -
为什么主流网站无法捕获 XSS 漏洞?
二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛。为什么过了这么久,这些网站还是对此类漏洞束手无策呢?原创 2016-04-22 16:52:28 · 470 阅读 · 0 评论 -
为什么主流网站无法捕获 XSS 漏洞?
二十多年来,跨站脚本(简称 XSS)漏洞一直是主流网站的心头之痛。为什么过了这么久,这些网站还是对此类漏洞束手无策呢?原创 2016-04-22 16:44:06 · 431 阅读 · 0 评论 -
DevSecOps简介(二)
越来越多的组织机构开始采取 DevOps 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:安全。随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发和部署流程中创建可程序化、可重复进行的安全管理已经成为现实。原创 2016-05-04 16:06:21 · 561 阅读 · 0 评论 -
DevSecOps简介(二)
越来越多的组织机构开始采取 DevOps 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:安全。随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发和部署流程中创建可程序化、可重复进行的安全管理已经成为现实。原创 2016-05-04 15:57:06 · 400 阅读 · 0 评论 -
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助
Struts2是一款优秀的网站框架,在互联网上有十分广泛的应用,近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞(CVE-2016-3081,S2-032),该漏洞风险等级为高级且广泛影响Struts2各版本,利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等,具有严重的危害性。原创 2016-04-27 15:14:04 · 538 阅读 · 0 评论 -
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助
Struts2是一款优秀的网站框架,在互联网上有十分广泛的应用,近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞(CVE-2016-3081,S2-032),该漏洞风险等级为高级且广泛影响Struts2各版本,利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等,具有严重的危害性。原创 2016-04-27 14:53:58 · 419 阅读 · 0 评论 -
应用安全的重要性!再怎么强调都不过分的5大理由
在当今的商业领域,应用安全的重要性已经成为影响公司品牌感知,甚至盈亏的首要因素。然而,不知为何,尽管数字化领域呈现指数型增长,安全协议却很少回应云或其他软件环境中存储的重要信息量。在近期一篇名为《为什么应用安全是商业准则》的白皮书中,IDG 与 Veracode 强调了应用安全(AppSec)对于企业安全格局如此重要的五大原因原创 2016-03-18 18:29:44 · 633 阅读 · 0 评论 -
如何避免应用安全风险?
应用安全由于安全管理不善所引起的那些风险再也不能仅仅通过一些数字来进行彻底的了解,这些数字通常未涉及实际的量子损害及其连锁反应。在疯狂追赶上市时间的压力之下,应用开发者可能没有全面考虑数据安全和用户隐私,只给企业提供了初级的临时预防威胁的工具。当边界安全在应用层激发了不安全的代码,运行时安全只是更进一步地重现这种攻击。原创 2016-03-18 18:19:12 · 1693 阅读 · 0 评论 -
如何解决 Java 安全问题?
如何解决 Java 安全问题,目前的应对策略都十分笨拙,往往适得其反。幸运的是,有一种新的方法可以将安全机制嵌入 Java 执行平台——或者更具体地说,嵌入 Java 虚拟机中,进而规避一些「Big Problem」。原创 2016-01-14 15:32:20 · 1069 阅读 · 0 评论 -
安全防护:你是否正在追逐一个不可能实现的目标?
100% 安全的运行环境是你的奋斗目标吗?呃…那么你有可能正在追逐一个不可能实现的目标!在如今的数字化商业世界,每一次技术的革新,都将带来安全状态的不断变化,也就是说,你的运行环境安全指数是在不断变化的。所以,在无法确保系统绝对安全的状况下,你还可以做些什么呢?聪明的做法不应把全部的精力集中放在反击入侵者和安全事故中,而是思考使用高效的工具来处理、评估和减少风险。原创 2016-01-14 11:24:29 · 380 阅读 · 0 评论 -
如何使用 HTTP 响应头字段来提高 Web 安全性?
在 Web 服务器做出响应时,为了提高安全性,在 HTTP 响应头中可以使用的各种响应头字段。X-Frame-Options该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。X-Frame-Options: SAMEORIGINDENY 禁止显示 frame 内的页面(即使是同一网站内的页面)SAMEORI原创 2016-01-29 13:07:24 · 3425 阅读 · 0 评论 -
十年未变!安全,谁之责?(下)
在 十年未变!安全,谁之责?(上)中,我们介绍了安全领域的现状和RASP新的解决方案,那么 RASP 究竟是什么?它在应用安全多变 的今天又能带给我们什么样效果?我们将通过何种方式才能打赢这场与黑客之间的攻坚战呢?应用安全行业快速发展的数十年间,出现了许多巨变。我们不仅看到过能塞满一整间屋子的电脑,那些曾经耗费数万美元、运行一次需要数周的设备,现在只需十多美元,几个小时内就能运行完毕。AsTech翻译 2016-01-26 10:53:23 · 654 阅读 · 0 评论 -
十年未变!安全,谁之责?(上)
在 OWASP(Open Web Application Security Project)2015 年的年报中,SQL注入和跨站点脚本再次被列入Top 10软件隐患。原创 2016-01-22 15:18:16 · 406 阅读 · 0 评论 -
十年未变!安全,谁之责?(上)
在 OWASP(Open Web Application Security Project)2015 年的年报中,SQL注入和跨站点脚本再次被列入Top 10软件隐患。原创 2016-01-22 15:11:10 · 398 阅读 · 0 评论 -
你的 Docker 应用是安全的吗?
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。原创 2016-01-21 13:35:02 · 375 阅读 · 0 评论 -
你的 Docker 应用是安全的吗?
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。原创 2016-01-21 13:15:55 · 984 阅读 · 0 评论 -
用 Webgoat 撬动地球,看安全测试的引路石!
测试工程师是很多人迈进软件行业的起点。从负责很小的局部到把握整个产品的质量,每个人花费的时间长短不一——从功能到性能、可用性到容错性、从兼容性到扩展性、稳定性到健壮性……方方面面逐渐做广做深。原创 2016-01-19 11:38:21 · 444 阅读 · 0 评论 -
如何解决 Java 安全问题?
如何解决 Java 安全问题,目前的应对策略都十分笨拙,往往适得其反。幸运的是,有一种新的方法可以将安全机制嵌入 Java 执行平台——或者更具体地说,嵌入 Java 虚拟机中,进而规避一些「Big Problem」。原创 2016-01-14 16:04:37 · 428 阅读 · 0 评论 -
安全无小事:如何给企业用户数据上把锁?
安全无小事!这句话放在互联网行业依然很贴切。对企业而言,用户的数据信息就是发展的命脉。但是对安全领域稍微了解的人都有一个共识,那就是网络攻击者所使用的方法、技术和工具的发展速度都远远超过网络防御者。而新兴的网络威胁正在不断「侵蚀」着企业的网络、核心数据以及应用程序安全。我们应该如何应对?原创 2016-01-15 15:39:58 · 535 阅读 · 0 评论 -
如何避免应用安全风险?
由于安全管理不善所引起的那些风险再也不能仅仅通过一些数字来进行彻底的了解,这些数字通常未涉及实际的量子损害及其连锁反应。在疯狂追赶上市时间的压力之下,应用开发者可能没有全面考虑数据安全和用户隐私,只给企业提供了初级的临时预防威胁的工具。当边界安全在应用层激发了不安全的代码,运行时安全只是更进一步地重现这种攻击。这场混乱之后,应当如何阻止应用安全消失在众所周知的百慕大三角中,即范围、进度和预算?原创 2016-03-18 18:10:00 · 708 阅读 · 0 评论 -
注入攻击-SQL注入和代码注入
注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻击包括跨站脚本攻击(XSS)、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅,这里只是一个简单的介绍。原创 2016-03-18 16:29:29 · 3778 阅读 · 0 评论 -
10大常见的安全漏洞!你知道吗?
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。原创 2016-03-04 16:34:45 · 687 阅读 · 0 评论 -
10大常见的安全漏洞!你知道吗?
众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。原创 2016-03-04 15:09:36 · 8405 阅读 · 0 评论 -
入侵分析十诫
这些年来,笔者一直积极参与入侵检测分析师的培训和发展工作,同时还担任了 SANS 信息安全课程《深入入侵检测》(编号503)的授课导师。笔者发现自己一直在不断改变对有效入侵检测的哲学认识。然而,不论该哲学如何演化,有些主题总是保持不变。通过这些经历,笔者创作了「入侵分析十诫」,这十诫所突出的核心主题不仅是笔者想要灌输给接受培训的分析师的,也是希望在自身的入侵分析工作中能融会贯通的。原创 2016-03-03 11:11:50 · 535 阅读 · 0 评论 -
入侵分析十诫
这些年来,笔者一直积极参与入侵检测分析师的培训和发展工作,同时还担任了 SANS 信息安全课程《深入入侵检测》(编号503)的授课导师。笔者发现自己一直在不断改变对有效入侵检测的哲学认识。然而,不论该哲学如何演化,有些主题总是保持不变。通过这些经历,笔者创作了「入侵分析十诫」,这十诫所突出的核心主题不仅是笔者想要灌输给接受培训的分析师的,也是希望在自身的入侵分析工作中能融会贯通的。原创 2016-03-03 11:02:17 · 434 阅读 · 0 评论