网页浏览器知道我们的哪些信息?(2)

2016-06-21
阅读 2 分钟
1.8k
【编者按】本文最早发布于 SecureMac 博客,其第一部分介绍了网络浏览器存储了哪些用户数据。在第二部分,将解释这些数据对用户的隐私有何影响。本文系国内 ITOM 管理平台 OneAPM 编译呈现。

为什么主流网站无法捕获 XSS 漏洞?

2016-04-22
阅读 2 分钟
2.3k
对于最近 eBay 网站曝出的跨站脚本漏洞,你有什么想法?为什么会出现这样的漏网之鱼?一个如此大规模的网站,不应该具备可靠的网关安全技术以阻止任何情况下的 XSS 攻击么?

别让安全问题拖慢了 DevOps!

2016-03-23
阅读 2 分钟
1.4k
敏捷开发和 DevOps 方法的出现使软件开发的速度与质量都有所提升,但它们不经意地也为安全机构增压不少。从前的安全策略是基于静态数据的,而在产品上线前才应用这些策略,或手动调整规则,会使设定策略的时间非常紧张,从而影响到发布产品的质量,增加出错的风险,拖慢整个 DevOps 周期。同时,使用 DevOps 配置工具来...

注入攻击-SQL注入和代码注入

2016-03-18
阅读 5 分钟
5k
OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS。

如何保护 .NET 应用的安全?

2016-03-11
阅读 3 分钟
1.7k
自从 Web 应用能给访问者提供丰富的内容之后,黑客们就把目光转向任何他们能够破坏,损毁,欺骗的漏洞。通过网络浏览器提供的应用越来越多,网络罪犯们可以利用的漏洞数量也呈指数增长起来。

企业应用程序安全的新「守护神」

2016-02-29
阅读 3 分钟
2k
Aberdeen 曾提出一份报告,针对机构应该如何优先管理积极风险的问题,提出了考虑将 Runtime Application Self-Protection (RASP) 作为企业应用程序安全的主流选择的建议。

静态分析安全测试(SAST)优缺点探析

2016-02-26
阅读 2 分钟
3.5k
静态分析安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性,那么采用静分析安全测试的方法有什么优缺点呢,且让小编给你说道说道。

运行 Docker 容器时的安全风险:别丢了你的套接字

2016-02-16
阅读 4 分钟
5k
我们都遇到过这种情况:你只是想尝试一段命令行,但安装进程却如同抵押贷款申请那般繁琐。如果不是强制要求完成这么多步骤,你的开发环境会被永远不会再使用的库弄乱。自然, Docker 来了以后,你惊异地发现尝试一个新工具变得更容易了。但它是不是太容易了?也许是时候问问自己:在你寻求一个简单命令行工具的时候,是...

如何使用 HTTP 响应头字段来提高 Web 安全性?

2016-01-29
阅读 2 分钟
2.5k
该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。

十年未变!安全,谁之责?(下)

2016-01-26
阅读 2 分钟
1.1k
在 十年未变!安全,谁之责?(上)中,我们介绍了安全领域的现状和RASP新的解决方案,那么 RASP 究竟是什么?它在应用安全多变 的今天又能带给我们什么样效果?我们将通过何种方式才能打赢这场与黑客之间的攻坚战呢?

应用安全技术趋势之 Top 5

2016-01-15
阅读 2 分钟
2.1k
而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。

首席信息安全官的未来将何去何从?

2016-01-08
阅读 2 分钟
1.9k
随着计算机网络技术的高速发展,一个企业的安全状况逐渐成为成功与否的重要因素。随着网络安全重要性的日益增强,首席信息安全官这一角色,与其职业道路,也在不断演变。

安全的应用程序开发和应用程序安全防御

2016-01-08
阅读 3 分钟
2.3k
对互联网行业而言,安全总是后知后觉!只有遭受损失时才想办法去弥补。互联网的历史就非常清楚的验证这个理论,早在1969年美国军方就发明了互联网命名为「Arpanet」,1973年 Arpanet 发明了 TCP/IP 协议,随后在1981年发明了一系列的应用协议如「SMTP,POP3,FTP,TELNET 」等等,在1991年,就发明了 HTTP 协议。

防止 DDoS 攻击的五个「大招」!

2016-01-07
阅读 3 分钟
4.4k
提到 DDoS 攻击,很多人不会陌生。上周,美国当地时间 12 月 29 日,专用虚拟服务器提供商 Linode 遭到 DDoS 攻击,直接影响其 Web 服务器的访问,其中 API 调用和管理功能受到严重影响,在被攻击的一周之内仍有部分功能不可用,严重影响其业务和成千上万使用 Linode 服务的用户。

在安全层面,企业如何获得更好的投资回报率 ROI?

2015-12-22
阅读 4 分钟
2.9k
任何企业对投资都有回报的要求,回报可能是直接的「利润」,达到短期、长期的目标,或者通过投资减少损失。因此每个项目的决策者在每笔投资前都要衡量 ROI,证明该投资能达到的效果和收益,以便在项目结束时可以考核和衡量项目是否成功。

电商安全无小事,如何有效地抵御 CSRF 攻击?

2015-11-24
阅读 3 分钟
2.4k
现在,我们绝大多数人都会在网上购物买东西。但是很多人都不清楚的是,很多电商网站会存在安全漏洞。比如乌云就通报过,国内很多家公司的网站都存在 CSRF 漏洞。如果某个网站存在这种安全漏洞的话,那么我们在购物的过程中,就很可能会被网络黑客盗刷信用卡。是不是有点「不寒而栗」 的感觉?

RASP 完爆 WAF 的5大理由!

2015-11-23
阅读 3 分钟
3.9k
Web 应用防火墙(WAF)已经成为常见 Web 应用普遍采用的安全防护工具,即便如此,WAF 提供的保护方案仍旧存在诸多不足,笔者认为称 WAF 为好的安全监控工具更为恰当。幸运的是,应用安全保护技术也在快速发展,运行时应用程序自我保护系统(简称 RASP)之概念,一经 Gartner 提出,立即受到热烈追捧。业界普遍认为 RASP ...