安全规约 安全规约 1.【强制】 隶属于用户个人的页面或者功能必须进行权限控制校验。 说明：防止没有做水平权限校验就可随意访问、操作别人的数据，比如查看、修改别人的订单。 2.【强制】 用户敏感数据禁止直接展示，必须对展示数据脱敏。 说明：查看个人手机号码会显示成:158**9119，隐藏中间4位，防止隐私泄露。 3.【强制】 用...

7.7. 防御框架 7.7.1. 防御纵深 7.7.1.1. 物理层 7.7.1.2. 数据层 7.7.1.3. 终端层 7.7.1.4. 系统层 7.7.1.5. 网络层 7.7.1.6. 应用层 7.7.2. 访问控制 7.7.2.1. 验证机制 7.7.2.2. 会话管理 7.7.2.3. 访问控制 7.7.3. 输入处理 7.7...

常见的安全误区 黑客、网络安全只存在于虚拟世界 我的程序部署在内网，没事儿 我的系统打上了所有的补丁，不会被入侵 密码用MD5加密了，拖了库也没关系 交易使用了短信验证码，绝对可靠 主流攻击方式 常见的安全误区 黑客、网络安全只存在于虚拟世界 如果我说以后黑客不但可以控制你的汽车开窗、刹车，甚至还能远程“强奸”，你信吗？ 许多初创公...

HTTPS劫持诊断 免责声明 支持客户 错误报警 漏报 HTTPS劫持诊断 Caddy有能力检测是否有中间人(MITM)在攻击HTTPS连接，虽然浏览器和最终用户可能看不到这些攻击。这意味着Caddy可以确定TLS代理是否“可能”或“不可能”正在积极地拦截HTTPS连接。 根据Durumeric, Halderman等人在他们的NDSS...

14.6. 其他安全相关事项 14.6.1. 网页应用程序的内在风险 14.6.2. 知道预期什么 14.6.3. 明智地选择软件 14.6.4. 将机器作为整体管理 14.6.5. 用户是参与者 14.6.6. 物理安全 14.6.7. 法律责任 14.6. 其他安全相关事项 Security is not just a techni...

官方插件定制 我的业务有执行命令需求，如何允许应用执行命令？ 通过文件函数写入 webshell，OpenRASP 不会拦截？ SQLi 常量对比算法 存在误报？ 其他参考 官方插件无法拦截攻击，我应该如何调试 官方插件定制 不同的研发人员，编码的习惯可能会不同；不同的业务，应用场景也不同。根据QQ群里用户的反馈，我们进行了整理。如果还有没...

通过网络移动 建立环境——实验网络 通过网络移动 作为一名红队成员，我们希望尽可能安静地在网络中穿梭。我们希望使用“特征”来查找和利用有关网络、用户、服务等信息。通常，在红队活动中，我们不希望在内网环境中进行任何漏洞扫描相关的活动。有时我们甚至不希望对内部网络运行 nmap 扫描。这是因为许多公司已经非常擅长检测这些类型的扫描，特别是在运行漏洞扫描...

10.3. 设置入侵检测 10.3.1. 基于网络的入侵检测 10.3.2. 基于主机的入侵检测 10.3. 设置入侵检测 Debian GNU/Linux includes tools for intrusion detection, which is the practice of detecting inappropriate or mal...

服务器安全基线检查 3001 - 关键 cookie 是否开启 httpOnly 3002 - 进程启动账号检查 3003 - 后台弱口令检查 3004 - 不安全的默认应用检查 3005 - Directory Listing 检查 3006 - 数据库连接账号审计 3007 - JBoss HTMLAdaptor 认证检查 3009 - W...

网络安全 网络安全 安全攻击类型 中断 窃取 篡改 伪造 APT 高级持续性威胁，利用先进的攻击手段和社会工程学方法，对特定目标进行长期持续性渗透和攻击 分五步： 情报收集 防线突破 通道建立 横向渗透 信息收集级外传 暗网 表层网络：任何搜索引擎都能抓取并轻松访问，只战整个网络4%-20% 深网：表层之外的网络，普通搜索...