- 综合排序
- 最热优先
- 最新优先
- 来自专栏vivo互联网技术
开发框架文档体系化的思考
从功能框架、特性使用流程、功能描述三个维度说明文档编写的逻辑性。希望能给同样从事开发框架的开发与维护的同行带来一点启发。 问题3:没有做竞品分析,没有明确介绍内部框架与开源同类框架到底有什么差异。 问题4:框架配置参数说明过于简单,没有相应的领域知识介绍,用户看不明白或者不理解。 背景及领域相关知识(介绍背景、基础原理、领域相关知识、专有名词,将部分用户的知识水平尽量拉抬到开发者相同层次) 适用场景,以及场景对应的依赖与限制 接入、使用、调优相关 质量信息(功能测试、性能测试、安全性相关 首先要对框架进行整体介绍,这个可以放到框架首页,接着明确要输出文档的类别(按照框架的不同可以选择性的写对应类别的文档,当然不是一定要输出全部6个类别的文档)及对框架功能特性进行枚举,这是一个“总-分”的过程 在图二分布式锁框架的文档目录中,从功能框架逻辑上来说,“依赖与限制”内容虽然也会比较少,但是一般在使用一个框架的时候是必看的内容,因此这里将其作为独立的模块。
1.3K1716发布于 2020-06-15 - 来自专栏Vue源码 & 前端进阶体系
【安全】 XSS 防御
4、配合钓鱼网站进行攻击 那我们怎么针对上面的手法进行防御,两种方式 1、禁止客户端访问 cookie 2、内容检查 下面来逐个介绍一下 禁止访问Cookie XSS 不能会窃取用户的 cookie,来假冒用户的登录吗 杀敌一千,四损八百,而且并没有根本上解决 XSS,只是减少了 XSS 的发生 因为能走到这一步的,说明恶意脚本还是执行了 就算你不让他获取 cookie,他还是可以做其他事情的 所以我们就有了下一个根本的防御的方法 下面记录一个转么转义 html 特殊字符的 方法 */ 网上还有更加完善的方法,这里就是简单记录理解一下,大家在项目中使用时要使用更加完善的方法 2 输出检查 虽然我们已经做了输入检查,但是我们永远要做更多的防御措施 ,以免有漏网之鱼 并且这一步是防御 XSS 最关键的一步,因为往往就是在这一步,把 恶意脚本插入到文档中 而导致脚本执行,从而发生攻击,所以在我们必须把内容插入到 HTML 文档中时,需要检查 该内容是否
1.5K20发布于 2020-02-17 - 来自专栏HACK学习
Web安全与防御
xss攻击(跨站脚本) 是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。 是发生于应用程序之数据库层的安全泄露。 防御方法 1. 、验证并转义用户输入 2、base64编码 3、绑定变量,使用预编语言 4、控制用户的权限,以及做好数据库本身的安全工作 文件上传漏洞 是指网络攻击者上传了一个可执行的文件到服务器并执行。 防御方法 1、拼宽带 2、流量清洗或者封 IP 3、CDN 服务 4、花钱买相应的防御服务
81220发布于 2019-08-07 2025 中国工商银行金融科技研究院等 中国金融生成式AI多模态内容鉴伪与安全防御白皮书(2025) 发布,提出体系化安全防御框架
第一章:报告基础信息 •报告标题:中国金融生成式AI多模态内容鉴伪与安全防御白皮书(2025) •发布机构:中国工商银行金融科技研究院、腾讯云、腾讯云计算(北京)有限责任公司、北京金融科技产业联盟 但技术滥用致多模态内容伪造成金融安全新挑战。报告倡导负责任创新,通过鉴伪与防御技术遏制滥用,构建从技术到管理的多层次综合治理防御生态,保障数字空间信息安全与可信秩序。 •核心分析模型:技术实践战略矩阵、生成式AI多模态伪造攻击原理和场景分析(技术层、场景层)、生成式AI多模态鉴伪五大难点模型、事前-事中-事后防御全链路困境分析模型、生成式AI多模态内容安全防御体系(端到端防御系统 )、监管合规(法律框架滞后致合规认定困境与法律风险)、风控难度(传统风控模型失效、规则滞后)、防御成本(安全投入指数级增长加剧行业分化)、技术对抗(攻防不对称性使防御方被动)。 •解决方案:构建生成式AI多模态内容安全防御体系,含“端到端防御系统”(风险场景渠道、风险分析与决策、风险处置&运营分析)与“进化与支撑系统”(多模态样本库与实验平台、AI基础设施与算力平台、威胁情报联盟
22810编辑于 2026-04-11- 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略
起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 ? 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本 有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。 扫描插件推荐: WordFence 当前更新于2019年3月 第五:插件安全性 网站的漏洞可能来源于插件,所以插件尽量少装,能用代码替换用代码替换,再者安装插件的话从WordPress官方的插件中心下载 第六:管理员帐号安全性要高 怎么个高法?
69140发布于 2021-08-03 - 来自专栏腾讯云安全专家服务
你该搞清楚的体系化安全思维
引言 背景 结合自己许多安全实战项目和曾经CISP讲师经历,从CISP的体系框架出发。 总结下,搞懂安全应该具备的体系化安全思维和知识背景 此文可助你 1.辅助对遇到安全问题的正确决策 2.待解决的安全问题价值定义,分析及判断 3.日常工作中碰到的所有安全问题及安全现象,你都可以从以下思维理解他 5-3600.1首次提出了信息安全保障 (1)核心关注:关注信息、信息系统对组织业务及使命的保障 (2)概念延申:信息安全概念延伸,实现全面安全 (3)政策要求:我国信息安全保障工作总体要求:积极防御 2.4 IATF 3个安全原则 (1)保护多个位置 (2)分层防御 (3)安全强健性 2.5 IATF特点 全方位防御、纵深防御将系统风险降到最低;信息安全不纯粹是技术问题,而是一项复杂的系统工程 组件层(实施者视图) (6)运营层(服务和管理视图) SABSA 4步骤 (1)战略与规划 (2)设计 (3)实施 (4)管理与测量 6.2 Zachman框架 image.png 6.3 TOGAF开放群组架构框架
2.8K154编辑于 2022-03-25 - 来自专栏PHP在线
PHP安全:session劫持的防御
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。 深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。 > 这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
1.7K80发布于 2018-03-07 - 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略(续)
续 承接上一篇:WordPress安全防御攻略 第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口 Files *.php> Order Allow, Deny Deny from all </Files> </Directory> 第十二:主机服务器设防 靠谱的主机服务商都包含主机安全 ,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。
1.4K40发布于 2021-08-03 - 来自专栏数说工作室
更主动的安全防御
防御这个词好像天然是被动性的,别人来攻击,你来防守,要处处防着对方,小心被对方渗透进来。 因为攻击者在暗,防守方在明,只有攻击者出手的份,防守方对攻击者似乎做不了什么。 笔者从安全防御的 “主动性” 角度,总结了企业安全建设的三个层次,这三层不是演进替代的关系,而是叠加: 第一层是筑牢基本防线,建立运营流程 安全的基本防线构建大概分为三块: 1)安全套件 互联网边界上标准安全架构 第二层是体系化、协同化的建设,加上自动化、智能化的运营,使整个安全堡垒能够自适应、自“学习” 1)一方面,基于前期部署的安全套件,通过协同和运营,形成一个安全机制,比如: 零信任安全办公体系,基于“终端 第三层是强化溯源研判的软硬实力,部署威胁猎捕工具,协同外部执法力量对攻击者进行打击 前面2层还是“防御”层次,只是对攻击行为能够更主动的防御。而第三层,则开始对攻击源开始反制。 本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次,主动性未必代表成熟度。作为企业安全人员,应该根据安全建设的目标、资源情况,综合进行考虑。
52220编辑于 2022-08-31 - 来自专栏乌鸦安全
通过攻击看透安全开发、安全运维、安全防御
就拿木马举例,各种形式的木马,变相产生了各种杀毒软件,web安全狗,360安全卫士,火绒,windowsdefander,卡巴斯基,各种病毒专杀工具。 0x01 攻防发展剖析 首先,先来剖析传统互联网的信息安全防御体系。 红队的攻击依靠信息收集进行,信息收集到的cms框架指纹越多,收集到的端口服务越多,服务及框架存在漏洞的可能越大,这也给红队从不同角度攻击目标提供了无限的可能。 在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。 每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
1.1K20编辑于 2022-08-11 - 来自专栏小生观察室
云环境下安全防御101
视频内容 云环境下安全防御101 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。
89730发布于 2021-04-08 - 来自专栏深度前端
【安全系列】CSRF攻击与防御
六、CSRF攻击防御 【HTTP Referer 字段校验】 比如上一个场景,恶意攻击被发起时,请求的Referer会指向恶意网站,因此要防御CSRF攻击,可能对Referer字段校验,如果不是本域或者指定域过来的请求
1.3K00发布于 2020-04-19 - 来自专栏逆向与安全
web安全防御之RASP技术
0x00:web安全防御技术介绍 1.一个Web应用开发到上线的过程大致须要经过如下步骤:需求分析、架构设计、系统设计、功能设计、编码实现、测试评估、上线部署、业务运营等关键步骤,其中功能设计、编码测试 、发布部署、系统运营这几个环节中都会存在安全风险,但是针对各环节出现的安全风险目前还没有一个比较全面的防御产品。 ,就可以自动对其进行防御。 图1 如图1所示,RASP可以防御OWASP漏洞与第三方框架漏洞及应用性能监控等。 0x02:RASP防御实现与攻防测试(JAVA) 1.Java版的RASP技术使用javaagent机制来实现。 0x04:总结 1.目前RASP还处于发展中阶段,没有像WAF等常见的安全产品一样有非常明确的功能边界(scope),此文仅为技术学习,更多RASP防御技术与新用法还可以发挥想象,比如日志监控、管理会话
6.1K31发布于 2019-05-15 - 来自专栏Web大前端
前端安全:XSS攻击与防御策略
框架和库的安全配置: 使用安全更新的前端框架,如React、Vue等,它们通常内置了一些XSS防护机制。 利用库提供的安全功能,比如Angular的ngSanitize。 7. 提供持续的安全培训,确保所有开发人员了解最新的安全威胁和防御技术。 24. 沙箱环境: 在开发和测试阶段使用沙箱环境,隔离生产数据,减少因测试代码导致的安全风险。 25. 社区和资源利用: 关注安全社区和论坛,如OWASP、GitHub的安全公告,及时获取最新的安全情报和修复方案。 利用开源安全工具和框架,这些工具经常经过社区的广泛测试和验证,能有效提升应用的安全性。 安全编码训练: 提供定期的安全编码训练,使开发人员了解最新的安全威胁和防御技术。 40. 安全更新和补丁: 及时安装操作系统、框架、库和其他依赖的更新和安全补丁,保持系统安全。 49. 安全文化: 建立一种安全文化,鼓励员工报告安全问题,奖励安全行为,使安全成为公司价值观的一部分。
1.2K10编辑于 2024-06-13 - 来自专栏web全栈之路
前端安全之常见漏洞及防御
随着项目复杂度的提升以及用户体量的增大,前端安全变得越来越重要。平时系统运行正常,一旦出现安全问题,轻者部门扣分,严重的可能对公司造成严重损失。了解一些常见漏洞,平时coding时注意,防患于未然。 跨站请求伪造网站必须部署防御 CSRF 攻击的解决方案,每个接口都需要校验 Referer 和 csrf_token。 防御Url、表单输入过滤。将用户输入的内容进行过滤。 场景:访问node提供的服务,下载其他存储桶的cos文件,由于没有校验域名,导致cos回源暴露内网信息,该漏洞被内网安全扫描检测到。防御校验外部传入的域名是否在白名单。 其他防御方式 更多漏洞待更新点击加入群聊【小程序/前端交流】,一起学习交流:663077768
1.6K10编辑于 2023-06-14 - 来自专栏全栈程序员必看
APT防御_简述对安全的理解
作为新人,浅谈一下Web安全观。浅谈从Web安全到APT防御。 (五)应用错误配置/默认配置 多数应用程序、中间件、服务端程序在部署前,未针对安全基线缺乏严格的安全配置定义和部署,将为攻击者实施进一步攻击带来便利。 (四)敏感信息/配置信息泄露 由于没有一个通用标准的防御规则保护好中间件配置信息、DNS信息、业务数据信息、用户信息、源码备份文件、版本管理工具信息、系统错误信息和敏感地址信息(后台或测试地址)的泄露, (二)引用不安全的第三方应用 第三方开源应用、组件、库、框架和其他软件模块; 过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加 攻防对抗的本质是“人与人”的对抗,以人为本是防御体系建设的根本!
1K20编辑于 2022-11-05 - 来自专栏深度前端
【安全系列】XSS攻击与防御
(Cross Site Scripting),是为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞 前提是易受攻击的网站有一个HTML页面采用不安全的方式从document.location或document.URL或document.referrer获取数据或任何其他攻击者可以修改的对象 【案例】 五、XSS攻击常见的防御方式 5.1、html实体 在html中有些字符,像(<或>)这类的,对HTML来说有特殊意义,所以这些字符是不允许在文本中使用的。
1.7K00发布于 2020-03-08 - 来自专栏网络安全技术点滴分享
防御性安全播客第250期:深入解析网络安全事件与防御策略
防御性安全播客第250期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖以下技术性内容:1. Pulse Secure VPN修补后漏洞利用事件引用ZDNet报道:美国国土安全部CISA警告企业,即使已完成Pulse Secure VPN补丁安装,攻击者仍能通过残留漏洞实施入侵技术细节涉及VPN Web Shell后门攻击技术分析根据BankInfoSecurity报告,攻击者正在增加使用Web Shell创建持久化后门具体技术手段包括:利用文件上传漏洞部署ASPX/PHP后门通过混淆技术绕过传统安全检测建立命令与控制 披露洛杉矶县政府系统遭入侵事件技术特征包含:双重勒索策略(数据加密+威胁泄露)利用网络横向移动技术文件加密算法和密钥交换机制相关资源CISA官方技术公告Web Shell技术分析报告勒索软件事件响应指南技术防御建议实施漏洞修复验证流程部署
27610编辑于 2025-08-20 - 来自专栏网络安全技术点滴分享
防御性安全播客第266期:深入解析网络安全事件与防御策略
防御性安全播客第266期内容概述本期防御性安全播客聚焦近期关键网络安全事件,涵盖技术分析与防御实践。主要内容包括:1. Uber首席信息安全官审判案例事件背景:涉及真相、透明度和信任在安全事件中的重要性 参考链接:CSO Online报道2. BPFdoor全球监控工具技术架构:基于BPF技术的中国活跃监控工具 工作原理:用户态与内核态协同监控机制 参考链接:DoublePulsar技术分析技术防御建议针对Linux系统进程保护提出监控方案
17800编辑于 2025-08-28 - 来自专栏数通
CentOS系统安全配置防御维度
安全部署防御维度都有哪些 CentOS 系统安全配置的主要意图是构建一个防御性架构,通过多层次防护措施降低系统被攻击的风险,确保数据和服务的安全性、完整性和可用性。 入侵检测与防御 • 意图:实时监控和阻断恶意行为 • 实现方式: • 启用审计服务(auditd)记录关键操作 • 部署 fail2ban 防暴力破解 • 定期扫描 rootkit(rkhunter、chkrootkit 持续性安全维护 • 意图:建立长期安全运维机制 • 实现方式: • 自动安全更新(yum-cron) • 定期安全检查任务(通过 cron 调度) • 内核参数优化(如防 SYN 洪水攻击) 关键安全理念体现 • 纵深防御:不依赖单一防护层(网络+主机+应用) • 默认拒绝:白名单机制(如防火墙只放行必要端口) • 零信任:即使内部访问也需验证(如 SSH 密钥) ℹ️ 注意:安全配置需平衡安全性与可用性。 CentOS系统的安全性。
30010编辑于 2025-07-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号