置顶网络安全术语详解
https://v03.fl-aff.com/auth/register?code=670qFASTLINK科学上网工具(机场、梯子),好用便宜方便,用Clash工具管理。1 网络安全专有名词详解肉鸡“肉鸡”是一种很形象的比喻,比喻那些...
置顶找学习资源
1.盘搜搜网址:https://pansou.cc/ 搜各种百度网盘资料2.大力盘网址:https://www.dalipan.com/#/main/search?restype=1 搜...
SDL
安全漏洞的源头是开发,只有当开发人员写出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发写出更“安全”的代码,是安全防护工作中最关键的一环。2004 年,微软提出了 SDL(Security Development Lifec...
安全标准和框架
前面讲了等级保护制度,实际上,NIST 也被称为“美国版等保”。因为 NIST 是美国政府提出的,对公司的安全能力进行监督和管控的安全框架。但是,NIST 并未考虑公司在实施安全标准时需要付出的成本,所以除了美国政务之外,NIST 很少...
分布式安全
如今,大数据处理已经成为了每一个应用和公司都必备的业务。因此,除了数据库之外,分布式的平台和框架也是开发人员最熟悉的工具之一。说到分布式,就不得不提到 Hadoop。Hadoop 可以说是一个划时代的分布式框架,底层的 HDFS 提供了...
数据库安全
说到数据库,你肯定会说:“数据库是我最熟悉的工具了。利用它,我能够设计复杂的表结构、写出炫酷的 SQL 语句、优化高并发场景下的读写性能。”当然,我们的日常工作离不开数据库的使用。而且,数据库中储存的大量机密信息,对于公司和用户都至关重...
网络安全
你平时使用手机连接无线网络的时候,一定看到过这样的安全提示:不要连接陌生的 Wi-Fi。也一定看过很多这样的报道:某先生 / 女士因为使用了陌生的 Wi-Fi,信息遭到泄露,不仅账号被盗用,还造成了经济损失。看到这些提示和报道之后,你就...
Linux系统安全
在开发一个应用的过程中,需要涉及代码、操作系统、网络和数据库等多个方面。所以,只是了解代码安全肯定是不够的,我们还需要了解常见的基础环境和工具中的安全机制,学会通过正确地配置这些安全机制,来提升安全保障。谈到 Linux,我相信你每天都...
权限提升和持久化
某一天,当我在进行日常审计的时候,突然发现内网有黑客的操作痕迹。于是,我马上对黑客的攻击路径进行溯源。最后发现黑客是通过某个应用的 SSRF 漏洞进入的。之前我们提到过,SSRF 通常用来作内网探测,那么黑客是如何通过 SSRF 拿到服...
信息泄露
你平时在 Debug 的时候,一定首先会去查看错误信息。根据错误信息,你能够了解究竟是什么情况引发了什么样的错误。同样地,黑客也能够通过错误信息,推断出你的后台代码逻辑。那么,黑客究竟是怎么做的呢?为什么错误信息会泄露代码逻辑?当黑客在...
访问控制
访问控制模型首先,在探讨访问控制的机制之前,我们先要来了解一下,访问控制的场景是什么。这也是你去理解访问控制机制的一个基础。我把访问控制模型抽象成了下图的模型,你可以看看。具体来说就是,一个主体请求一个客体,这个请求的授权由访问控制来完...
身份认证
认证,也就是身份识别与认证(通常来说,识别和认证是一体的,因此后面我会用身份认证来指代识别和认证)。毫无疑问,对于一个安全的应用来说,身份认证是第一道门槛,它为后续所有的安全措施提供“身份”这样一个关键信息。身份认证包括哪些东西?首先,...