在零信任架构下的API安全与滥用防护(上)
在当今数字化的浪潮中,应用程序编程接口(API)的战略重要性愈发凸显。API不仅仅是现代软件和互联网服务之间沟通的桥梁,更是企业价值创造的核心。随着API的快速发展和广泛应用,安全问题随之而来,其中API滥用尤为引人注目,它已经成为数字安全领域亟待解决的关键挑战。传统的网络安全模型,以其定义的安全边
隐私合规:移动SDK安全要求及测试内容
移动SDK安全要求及测试内容
BTCPay Server:免费、安全、开源的比特币支付处理器 | 开源日报 No.90
BTCPay Server 是一个免费、开源且自托管的比特币支付处理器,可以让您接受比特币而无需支付任何费用或中介。
零信任安全:远程浏览器隔离(RBI)的重要性
远程浏览器隔离系统是一种安全解决方案,它通过在远程服务器上运行网络浏览器,将远程浏览会话与用户设备隔离开来。这意味着用户的终端设备不直接与互联网上的恶意软件和潜在威胁接触,从而有效降低了网络攻击和恶意软件感染的风险。远程浏览器隔离(RBI)SAAS系统的重要性不言而喻。它不仅可以有效防范恶意软件和网
暴力破解及验证码安全
hydra -L user.txt -P top100.txt -t 1 -vV -e ns 10.0.0.131 mssql -o 1.txt 通过cat 1.txt查看。由于token值输出在前端源代码中,容易被获取,因此也就失去了防暴力破解的意义,一般Token在防止CSRF上会有
“星链”安全设计理念初探
目前,国内的卫星互联网大多基于 5G 通信体制进行设计,5G 标准的 R17 版本已经包含非地面网络(Non-Terrestrial Networks,NTN)的基本内容 ,但是以 TS 33.501 为代表的 5G 安全标准尚未针对卫星互联网特有的安全问题提供标准化的建议,安全设计工作缺乏标准和成
【Vulnhub】之JIS-CTF-VulnUpload-CTF01
此靶机一共找到了5个flag,分别通过端口扫描、网站目录扫描得到账密成功登录网站,并通过发现文件上传漏洞,利用一句话木马传到靶机,再通过蚁剑进行连接,最后查找并登录technawi用户查看隐藏文件flag.txt得到全部flag。
HTTPS接口 无法建立SSL / TLS安全通道的解决方案 (总结性)
TLS1.2是 TLS(Transport Layer Security)协议的最新版本,它是一种安全协议,用于加密网络通信并确保数据的完整性,TLS1.2现在已成为最具安全性的TLS协议版本。3、如果协议被禁用,将无法进行请求,因此要确保服务器端与客户端协议版本的一致性,以保证无法协商时不会发生通
十种接口安全方案!!!
日常开发中,如何保证接口数据的安全性呢?接口数据安全的保证过程,主要体现在这几个方面:一个就是数据传输过程中的安全,还有就是数据到达服务端,如何识别数据,最后一点就是数据存储的安全性。介绍下保证接口数据安全的10个方案。数据加签:用Hash算法(如MD5,或者SHA-256)把原始请求参数生成报文摘
Java安全——安全提供者
java安全中的安全提供者以及管理提供者的体系结构说明
浏览器安全攻击与防御
浏览器是我们访问互联网的主要工具,也是我们接触信息的主要渠道。但是,浏览器也可能成为攻击者利用的突破口,通过各种手段,窃取或篡改我们的数据,甚至控制我们的设备.本文将向大家介绍一些常见的浏览器安全的攻击方式和防御机制。
中间件安全:Apache Tomcat 文件上传.(CVE-2017-12615)
当存在漏洞的 Tomcat 运行在 Windows / Linux 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为ialse) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包合任意代码的 JSP 的 webshel 文件,JSP 文
容器安全是什么
1.基于已知威胁进行检测:德迅蜂巢通过监控容器内的进程创建、文件变化等行为,获取行为特征,将这些特征经过德迅五大检测引擎的检测,以发现容器中的病毒、挖矿、Webshell等攻击行为。一、资产清点,可以清晰地盘点工作负载本身的相关信息,此外,还能够实现不同工作负载之间的关系可视化,帮助运维和安全人员梳
Springboot安全管理
Actuator Security用于对项目的一些运行环境提供安全监控,例如Health健康信息、Info运行信息等,它主要作为系统指标供运维人员查看管理系统的运行情况。WebFlux Security是Spring Boot整合Spring WebFlux框架搭建的Web应用的安全管理。MVC S
机密计算如何引领AI开发的安全未来
先进的AI模型比如机器学习和生成式AI为加速医疗研究、促进业务增长和协助打击犯罪等领域带来了巨大的潜力。但是若不正确使用,在数据用于训练和保护模型后这些模型可能带来重大风险。为应对这一挑战,2023年10月,美国拜登-哈里斯政府颁布了一项行政命令,旨在确保“AI的安全、安全和值得信赖的使用”,强调了
永恒之蓝的复现与利用
永恒之蓝漏洞(MS17-010),它的爆发源于 WannaCry 勒索病毒的诞生,该病毒是不法分子利用NSA(National Security Agency,美国国家安全局)泄露的漏洞 “EternalBlue”(永恒之蓝)进行改造而成。2、漏洞原理:永恒之蓝漏洞通过 TCP 的445和139端口
Windows 动态注入(远程线程、消息钩子、APC)
Windows PC端动态注入(远程线程、消息钩子、APC)
密码传输和存储,如何保证数据安全?
本文从一个输入密码登录场景说起,详细介绍了密码传输过程的改进和思路,最后展现出一个相对安全的传输和存储方案。点击上方“后端开发技术”,选择“设为星标” ,优质资源及时送达场景在互联网项目中,我们经常会遇到以下场景:用户注册,输入验证码传输到后端保存用户登录,前端输入密码传输到后端验证用户支付,需要输
芯片安全和无线电安全底层渗透技术
像我们刚才提到的,如果说某一个芯片它在某一个地址段里面放了1k的木马,正常的用户他是察觉不到的,但是通过硬件故障注入的渗透措施,如果你故障注入精准到位的话,可能会把它的PC的指针值,或者把它的堆栈值改写,又或者导致内存溢出,会让固件无意中跳转到不明确的地方,一旦那个地方是属于埋藏的木马区间内的话,那
ARP渗透与攻防(二)之断网攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染
