标签:数据泄露

编程技术

架构评审一百问和设计文档五要素

8

尖兵 发布于 2019-05-14

本文我会来说说我认为架构评审中应该看的一些点,以及我写设计文档的一些心得。助你在架构评审中过五关斩六将,助你写出能让人收藏点赞的设计文档。 技术架构评审一百问 架构评审或技术方案评审的价值在于集众人的力量大家一起来分析看看方案里是否有坑,方案上线后是否会遇到不可逾越的重大技术问题...

阅读(90)评论(1)赞 (1)

编程技术

防代码泄漏的监控系统架构与实践

5

hanze 发布于 2019-04-30

*本文作者:糖果L5Q,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 0×01 概要 代码资源是组织的核心资源,对于敏感的代码是不希望流传到外部的,但由于各种原因还是有资源泄露出去, 对于泄露的原因先不论,因为相对比较难避免,但我们可以通过一定的技术手段对...

阅读(55)评论(0)赞 (0)

编程技术

红蓝对抗基础设施架构设计Wiki(上)

10

hellas 发布于 2019-04-29

此Wiki的目的是为渗透测试人员提供用于设置弹性Red Team基础架构的资源。这是为了补充Steve Borosh( @424f424f )和Jeff Dimmock( @bluscreenofjeff ) BSides NoVa 2017演讲“Doomsday Prepper...

阅读(54)评论(0)赞 (0)

编程技术

如何减少扁平化网络的风险?软件定义隔离

1

xirruiqiang 发布于 2019-04-13

微隔离让您看到更多 扁平网络构建数据中心由于其架构简单、节省成本、便于拓展及维护,成为企业新宠。尤其是在业务快速变化、虚拟机数量庞大的互联网行业及大型企业。但实际上,攻击者也更喜欢扁平化网络,因为一旦扁平网络上的单个主机被控制,网络其余部分的安全性就会像纸牌屋一样。一旦企业被渗透...

阅读(50)评论(0)赞 (0)

编程技术

企业安全架构体系的现状和解决:应用型企业安全架构体系

4

邓龙华 发布于 2019-04-02

一、企业安全现状 从2016年底开始随着网络安全事件的爆发和国家层面对网络安全的重视程度,让网络安全已经上升到国家战略层面,同时网络空间已经成为领土、领海、领空和太空之外的第五空间, 是国家主权建设的新疆域。 随着中国对外开放的进一步扩大和深化,随着中国企业走出去和跨国企业的投资...

阅读(41)评论(0)赞 (0)

Java

Apache Struts OGNL注入漏洞原理与示例

9

puefu.he 发布于 2019-03-29

概述 通过本篇文章,我们主要了解如何在Apache Struts中实现OGNL注入。我们将举例阐述Struts中的两个关键漏洞: CVE-2017-5638 (Equifax信息泄露)和 CVE-2018-11776 。 Apache Struts是一个免费的开源框架,用于创建现...

阅读(82)评论(0)赞 (0)

Java

SAP 开源 Java SCA 工具,提供静态代码安全性测试功能

darida 发布于 2019-03-18

SAP 发布了 Vulnerability Assessment Tool 的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对 600 多个项目进行了 20,000 次扫描。 Vulnerability Assessment Tool 侧重于检测脆弱的组件,如...

阅读(65)评论(0)赞 (0)

编程技术

无服务器技术最糟糕的12个风险

1

wenming.gapo 发布于 2019-03-14

至顶网安全频道 03月14日 编译: 最近几年,无服务器计算技术实现了显著的增长,同时也伴随着新解决方案生态系统的蓬勃发展。这些新的解决方案提供了可观察性、实时追踪、部署框架、以及应用安全性。 随着无服务器安全风险逐渐引发人们的关注,那些嘲笑者和愤世嫉俗者们所谓“FUD”——恐惧...

阅读(74)评论(0)赞 (0)

编程技术

部署容器时要考虑的6个关键因素

1

Harries 发布于 2019-03-12

【51CTO.com快译】容器功能强大,易于提供应用程序或服务。虽然容器的目的是为了减少可变因素,从而简化和提高效率,但有许多复杂因素要考虑。在企业界,考虑这六个因素很重要: 1. 性能 开发人员通常不从性能的角度考虑潜在问题,但就因为你使用Web浏览器访问应用程序并不意味着它可...

阅读(55)评论(0)赞 (0)

编程技术

微服务和容器——企业持续交付指南

1

xiaoli.wang 发布于 2019-03-03

【编者的话】微服务、容器及其编排平台是当今的热门话题,并且很多企业已经开始在生产中使用它们,本文就微服务的崛起、企业应用如何从微服务中受益、微服务基于容器技术如何更好更快地持续交付进行了详细的阐述。 很大程度上,当今的企业需要依靠软件应用来促进大量的商业需求。在大多数企业中,一个...

阅读(97)评论(0)赞 (0)

Spring

账号被盗?可能不是你的原因!网站跨域要做好!

7

hanze 发布于 2019-02-25

跨域案例: 案例1: 有一些黑客利用iframe技术将支付宝,银行等真正的登录页面嵌套到黑客自己的页面里面,这样的话,如果你的网站没有同源限制,那么你所输入的用户名密码就被黑客利用JavaScript脚本轻易的获取走了,从而造成不必要的损失。 案例2: 我们都知道http请求没有...

阅读(86)评论(0)赞 (0)

Java

Spring Security and Angular 实现用户认证

9

darida 发布于 2019-02-22

引言 度过了前端框架的技术选型之后,新系统起步。 ng-alain ,一款功能强大的前端框架,设计得很好,两大缺点,文档不详尽,框架代码不规范。 写前台拦截器的时候是在花了大约半小时的时间对代码进行全面规范化之后才开始进行的。 又回到了最原始的问题,认证授权,也就是 Securi...

阅读(100)评论(0)赞 (0)

编程技术

基于通用技术的企业安全运营架构

9

xiaoli.he 发布于 2019-02-16

一、企业网络安全建设发展瓶颈 SANS网络安全活动标尺模型将网络安全建设投入及工作方向划分为五个阶段:架构、被动、主动、情报和震慑。 对于大多数传统企业(区别于安全企业和互联网企业)而言,经过一段时间的努力,都可以完成从无到有(架构)、从“救火”(被动)到正向建设(主动)的过程。...

阅读(95)评论(0)赞 (0)

编程技术

对于SD-WAN安全必知的5个误区

1

zhuangli 发布于 2019-02-11

不可否认SD-WAN安全至关重要,但问题在于,许多企业对于SD-WAN并不了解,以及被解决方案厂商误导建议,往往使SD-WAN容易受到滥用和攻击。而下面的五大误区需要了解一下。 误区一:不了解方案架构就用 SD-WAN解决方案对于企业市场来说仍然较新,因此许多企业对SD-WAN的...

阅读(99)评论(0)赞 (0)

编程技术

通过被黑的广告供应链开展新的Magecart攻击

8

likai 发布于 2019-01-20

1月1日,我们检测到一直在跟踪的web skimmer群体的活动显着增加。在此期间,我们发现他们的恶意skimming代码(由趋势科技检测为JS_OBFUS.C。)加载在277个电子商务网站上,提供票务,旅游和航班预订服务以及来自名牌化妆品、医疗保健和名牌服装的自托管购物网站。趋...

阅读(129)评论(0)赞 (0)

编程技术

浅谈BeyondCorp(二)-标准化是办公网安全的基石

1

likai 发布于 2019-01-08

前言 有几个相熟的朋友打趣我停更已久,想想看距离上篇文章差不多过了两个月了,而我写上篇文章差不多也是从立Flag到出稿差不多两个月。看起来两个月是一个自我可接受范围内的大限,工作、生活以及懒等多种原因也就造成了更新时间随缘、看命,不过应该会继续更新下去。 续接前文《浅谈Beyon...

阅读(119)评论(0)赞 (0)

编程技术

数十家公司超 10 亿数据泄露,如何避免?

邓龙华 发布于 2019-01-08

据统计,2018 年共 10 余家公司发生数据泄露,超 10 亿人受到影响,企业应该如何避免此类事件发生? 回顾 2018 年,全球数据泄露事件不断,当事公司不乏技术实力雄厚、人才充足的大型互联网企业,但都没有逃脱数据泄露的命运,个别企业的安全漏洞甚至被黑客利用数年之久,泄露的总...

阅读(120)评论(0)赞 (0)

Spring

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

13

Harries 发布于 2018-12-28

Spring boot的优势为很多开发者所知悉:轻量级、代码量减少、模块化等等,因此被区块链行业中的许多交易所使用。然而match,如果开发配置不当,可能会存在系统高危漏洞,一个小小的细节出错都会导致重大的安全事故。 多家加密货币交易所使用spring boot用以提高开发效率 ...

阅读(121)评论(0)赞 (0)