日志说明 存储路径 日志类型 日志格式 1. 攻击日志格式 2. 安全基线检查日志 3. 应用行为日志 日志说明 存储路径 OpenRASP 默认会开启文件日志，存储路径如下: Java 版本: <app_home>/rasp/logs/alarm/*.log* PHP 版本: <openrasp_rootdir>/logs/ala...

常见的安全漏洞 跨站脚本（XSS） 防范 XSS 跨站请求伪造（CSRF） 防范 CSRF SQL 注入漏洞 常见的安全漏洞 在构建 PWA 站点的过程中，我们会面临很多的安全风险和漏洞，如 XSS ，CSRF ，SQL 注入漏洞 ，ClickJacking ，文件上传漏洞 等等。在本小节中，我们列举几种客户端常见的安全漏洞，了解一下其原...

服务器安全基线检查 3001 - 关键 cookie 是否开启 httpOnly 3002 - 进程启动账号检查 3003 - 后台弱口令检查 3004 - 不安全的默认应用检查 3005 - Directory Listing 检查 3006 - 数据库连接账号审计 3007 - JBoss HTMLAdaptor 认证检查 3009 - W...

7.7. 防御框架 7.7.1. 防御纵深 7.7.1.1. 物理层 7.7.1.2. 数据层 7.7.1.3. 终端层 7.7.1.4. 系统层 7.7.1.5. 网络层 7.7.1.6. 应用层 7.7.2. 访问控制 7.7.2.1. 验证机制 7.7.2.2. 会话管理 7.7.2.3. 访问控制 7.7.3. 输入处理 7.7...

Go夜读 Go夜读 2020-08-16 晓黑板 go-zero 微服务框架的架构设计 2020-10-03 go-zero 微服务框架和线上交流 防止缓存击穿之进程内共享调用 基于go-zero实现JWT认证 再见go-micro！企业项目迁移go-zero全攻略（一）

1.8 加解密 1.8.1【建议】对称加密 1.8.2【建议】非对称加密 1.8.3【建议】哈希算法 1.8.4【建议】密码存储策略 1.8 加解密 1.8.1【建议】对称加密 建议使用AES，秘钥长度128位以上。禁止使用DES算法，由于秘钥太短，其为目前已知不安全加密算法。使用AES加密算法请参考以下注意事项： AES算法如果采用...

14.6. 其他安全相关事项 14.6.1. 网页应用程序的内在风险 14.6.2. 知道预期什么 14.6.3. 明智地选择软件 14.6.4. 将机器作为整体管理 14.6.5. 用户是参与者 14.6.6. 物理安全 14.6.7. 法律责任 14.6. 其他安全相关事项 Security is not just a techni...

Django 1.7.3 版本发行说明 通过下划线/破折号混淆进行 WSGI 头欺骗 通过用户提供的重定向 URL 减轻了可能的 XSS 攻击风险。 对 django.views.static.serve 的拒绝服务攻击 使用 ModelMultipleChoiceField 存在数据库拒绝服务漏洞 漏洞修复 Django 1.7.3 版...

安全规约 安全规约 1.【强制】 隶属于用户个人的页面或者功能必须进行权限控制校验。 说明：防止没有做水平权限校验就可随意访问、操作别人的数据，比如查看、修改别人的订单。 2.【强制】 用户敏感数据禁止直接展示，必须对展示数据脱敏。 说明：查看个人手机号码会显示成:158**9119，隐藏中间4位，防止隐私泄露。 3.【强制】 用...

安全性，原生能力和你的责任 报告安全问题 Chromium 安全问题和升级 安全是所有人的共同责任 隔离不信任的内容 Electron 安全警告 清单：安全建议 1) 仅加载安全内容 为什么？ 怎么做？ 2) 不要为远程内容启用 Node.js 集成 为什么？ 怎么做？ 3) 为远程内容开启上下文隔离 为什么 & 如何? 4) 处...