Django 1.4.18 版本发行说明 通过下划线/破折号混淆进行 WSGI 头欺骗 通过用户提供的重定向 URL 减轻了可能的 XSS 攻击风险。 对 django.views.static.serve 的拒绝服务攻击 漏洞修复 Django 1.4.18 版本发行说明 2015 年 1 月 13 日 Django 1.4.18 修复了...

内容安全策略 启用 CSP 发送报告 内容安全策略 CSP（Content Security Policy）即内容安全策略，主要目标是减少、并有效报告 XSS 攻击，其实质就是让开发者定制一份白名单，告诉浏览器允许加载、执行的外部资源。即使攻击者能够发现可从中注入脚本的漏洞，由于脚本不在白名单之列，浏览器也不会执行该脚本，从而降低客户端遭受 XS...

Django 1.7.7 版本发行说明 strip_tags() 存在拒绝服务的可能性 通过用户提供的重定向 URL 减轻了可能的 XSS 攻击风险。 漏洞修复 Django 1.7.7 版本发行说明 2015 年 3 月 18 日 Django 1.7.7 修复了 1.7.6 版本中的一些错误和安全问题。 strip_tags() 存...

14.1. 定义安全策略 14.1. 定义安全策略 注意 本章所涉及范围 安全是一个很广泛并且敏感的题目，很难在一个章节的课程中来明确全面地表述。此处只划定几个重点，介绍一些可以用于安全领域的工具和方法。更深层次的读物，作品，书籍比比皆是。一本很好的入门书籍是Linux 服务器安全（由 O’Reilly 出版）。 “安全”是一个涵盖很宽泛的概念...

7. 防御技术 7. 防御技术 内容索引: 7.1. 团队建设 7.1.1. 红蓝军简介 7.1.2. 攻防演习 7.1.3. 人员分工 7.1.4. 参考链接 7.2. 安全开发 7.2.1. 简介 7.2.2. 步骤 7.2.3. 参考链接 7.3. 威胁情报 7.3.1. 简介 7.3.2. 相关概念 7.3...

Django 1.6.10 版本发行说明 通过下划线/破折号混淆进行 WSGI 头欺骗 通过用户提供的重定向 URL 减轻了可能的 XSS 攻击风险。 对 django.views.static.serve 的拒绝服务攻击 使用 ModelMultipleChoiceField 存在数据库拒绝服务漏洞 Django 1.6.10 版本发行说...

内容提要 摘要认证的改进 后面的内容 内容提要 本章提供HTTP官方定义的另外一种认证协议————摘要认证。 摘要认证跟基本认证兼容，但更安全，虽然没有得到广泛应用，但对安全事务来说，这些概念是很重要的。 摘要认证的改进 与基本认证相比，摘要认证虽不是最安全的认证方式，但却在以下几点上做了一些改进，以此来降低安全事务风险。 1...

云原生安全概述 云原生安全的 4 个 C 云原生安全的 4C 云 云提供商安全性 基础设施安全 集群 集群组件 集群中的组件（你的应用） 容器 代码 代码安全性 接下来 云原生安全概述 在云原生安全的背景下思考 Kubernetes 安全模型。 本概述定义了一个模型，用于在 Cloud Native 安全性上下文中考虑 Kub...

序言 解释流量, 事件, 策略, 风险的关联 日志解析的介绍 如何定制TH-Nebula日志解析？ 例子一：日志解析 解析用户访问 例子二：日志解析 解析 GET 请求 例子三：日志解析 解析 POST 请求 序言 解释流量, 事件, 策略, 风险的关联 日志解析的介绍 日志解析的例子 章结语 解释流量, 事件, 策略, 风险的关...

6.2 Metasploit基础 6.2.1 Metasploit的图形管理工具Armitage 6.2.2 控制Metasploit终端（MSFCONSOLE） 6.2.3 控制Metasploit命令行接口（MSFCLI） 6.2 Metasploit基础 Metasploit是一款开源的安全漏洞检测工具。它可以帮助用户识别安全问题，验证漏...