安全开发

Web安全开发规范手册V1.0

一、背景团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
汤青松·2020-08-22 11:44

Android安全开发之启动私有组件漏洞浅谈

0x00私有组件浅谈android应用中,如果某个组件对外导出,那么这个组件就是一个攻击面。很有可能就存在很多问题,因为攻击者可以以各种方式对该组件进行测试攻击。但是开发者不一定所有的安全问题都能考虑全面。对于这样的问题,最方便的修复方式就是在确定不影响业务的情况下,将这个存在问题的组件不对外导出变成私有组件。这样做的确很有效,私有组件也很安全。但是,如果存在某个私有组件能被导出组件启动的话,那么
阿里聚安全·2020-08-22 10:11

安全开发生命周期(SDL)禁止的函数调用(翻译)

文章目录原文名正文表1.禁止的字符串复制函数和它的替代函数表2.禁止的字符串连接函数和它的替代函数表3.禁止的sprintf函数和替代函数表4.禁止的“n”sprintf函数和替换表5.禁止变量参数sprintf函数和替换表6.禁止变量参数“n”sprintf函数和替换表7.禁止的“n”字符串复制功能和替换表8.禁止的“n”字符串连接函数和替换表9.禁止的字符串标记化功能和替换表10.禁止的Mak
一只懒虫·2020-08-22 10:59

Android安全开发之通用签名风险

1通用签名风险简介1.1Android应用签名机制阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。Android系统要求安装的应用必须用数字证书进行签名后才能安装,并且签名证书的私钥由应用开发者保存。签名证书的生成也由开发者自己生成。在应用安装时会校验包名(packagename)和签名,如果系统中已经存在了一个相同的包名和签名的应用,将会用新安装的应用替换旧的;如果包名相同但是签名
阿里聚安全·2020-08-22 09:53

安全开发流程扩展到云和大数据

了解必须将这些新技术融入您的安全开发流程的原因,并了解什么是安全开发流程、云计算和大数据技术的组成部分,以及它们存在哪些应用程序安全风险和如何减轻这些风险。
原文链接·2020-08-22 01:18

Android安全开发之通用签名风险

Android安全开发之通用签名风险作者:伊樵、舟海、呆狐@阿里聚安全1通用签名风险简介1.1Android应用签名机制阿里聚安全漏洞扫描器有一项检测服务是检测APP的通用签名风险。
阿里安全·2020-08-20 22:18

7月书讯:众多畅销书升级!

SQL基础教程(第2版)》赵寒《WebAPI的设计与开发》永远的肥仔《数据分析实战》王荣晓《SQL基础教程(第2版)》yiermeng《Git团队协作》liuhmmjj《数据分析实战》sz阿骏《Web安全开发指南
turingbooks·2020-08-20 21:23

EOS安全开发智能合约的终极指南

EOS智能合约安全终极指南。当世界上最大的ICO,EOS于2018年6月推出时,加密社区变得持怀疑态度,并且由于软件错误而被冻结了2天。但快进4个月,EOS今天占了以太网今天所做交易的两倍以上。通过免费和更快速交易的承诺,EOS最顶级的Dapp拥有大约13,000个每日活跃用户,而以太网的最顶级Dapp只有2,000个。一些常见的智能合约漏洞几乎适用于所有平台。与以太坊一样,在EOS上编写的智能合
编程狂魔·2020-08-20 04:17

议题征集 | 2018安全开发者峰会-7月21日

安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。
看雪学院·2020-08-20 03:06

看雪安全开发者峰会开幕:360加固保全周期防护成行业焦点

在第二届看雪安全开发者峰会上,由老牌安全技术社区看雪学院举办的第二届看雪安全开发者峰会在京举行。
看雪学院·2020-08-20 03:08

javaWEB安全开发基本原则

javaWEB安全开发基本原则最小化设计用户输入最小化,尽可能少地使用用户的输入用户输入范围最小化,过滤参数时尽量使用白名单策略用户权限最小化,只对用户进行所需的最少授权输出数据字段最小化,限制数据输出并且不输出业务无关的数据所有
复利人生·2020-08-19 20:49

XXE萌新进阶全攻略

本文涉及层面包括概念讲解、代码审计、漏洞复现、漏洞利用、工具使用、安全开发,无论你是开发人员还是渗透工程师,都可以在这里拿到你想要的。
qq_27446553·2020-08-18 00:41

vc++网络安全编程范例(17)-open ssl 实现文件加密与解密

作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用
iteye_9571·2020-08-17 23:16

vc++网络安全编程范例(17)-open ssl 实现文件加密与解密

作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
iteye_11687·2020-08-17 18:46

物联网设备安全开发利器,阿里云IoT固件安全检测帮您解忧固件安全风险

固件安全风险随着物联网的普及发展,出现越来趍多的设备。万物互联、设备多型多样,安全问题也随之不断地被暴露出来。固件是物联网设备的核心部分,一但被攻击,将影响终端设备的正常使用,或设备被控制利用,或泄露用户隐私。通常固件面临的安全风险有:1)系统安全:一般固件以Linux或RTOS作为底层操作系统。限于硬件性能,一般都未使用最新版本的操作系统、也很少进行安全加固,这些系统存在着大量的已知漏洞、以及像
安全家·2020-08-17 15:19

安全开发】Android安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-6-Android%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E
an0708·2020-08-16 18:42

C/C++全局钩子实现,手把手

工具VS2013第一步,制作这个dll勾选dll,空项目,关闭安全开发生命周期写完以后运行,生成dll和lib弹出这个窗口,不用怕,看下方,是成功的。只是因为dll无法独自运行而已。
lingyux·2020-08-16 17:58

VS2015 下的 RTKLIB 2.4.3 编译

可取消安全开发生命周期(SDL)检查,以防后续编译时scanf函数无法通过。
李梓汐·2020-08-16 16:09

Android应用安全开发之源码安全

转自:http://drops.wooyun.org/mobile/121720x00简介Androidapk很容易通过逆向工程进行反编译,从而是其代码完全暴露给攻击者,使apk面临破解,软件逻辑修改,插入恶意代码,替换广告商ID等风险。我们可以采用以下方法对apk进行保护.0x01混淆保护混淆是一种用来隐藏程序意图的技术,可以增加代码阅读的难度,使攻击者难以全面掌控app内部实现逻辑,从而增加逆
infsafe·2020-08-15 14:08

大数据下的电商风控体系——李学庆

他是京东安全开发生命周期SDL实践者,在前期带领团队规划和实践了上线安全、生产环境安全、重要项目
lcyGo·2020-08-14 22:56

OpenSSL的使用

作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目
sichuanwww·2020-08-12 12:28

【内含演讲PPT】游族首届创新安全开发者沙龙小结

10月25日,游族首届创新安全开发者沙龙在游族大厦2楼电影院成功举办。
知道创宇KCSC·2020-08-10 10:26

大公司也中招,DDoS攻击到底该怎么治?

游族与知道创宇联合主办的《创新安全开发者沙龙——企业安全建设》于今日(10月25日)下午在上海举办。
知道创宇KCSC·2020-08-10 10:25

黑客攻防 远程函数命令执行高危漏洞安全开发

在对产品需求进行功能实现开发时,用了危险函数容易造成远程函数执行高危漏洞。将教你在非得使用高危函数时如何进行防御,在不使用高危函数时如何实现同样的功能。简述一下如果你一直在小公司或者外包公司做WEB后台开发,在你写程序中没有遇到被入侵的经历,或者没有个安全经验丰富的主管,在平时审核下你写的代码,那你往往不会重视安全,久而久之高危漏洞会越写越多,越加的不能提升你自己的技术水平和安全认知。如果你有在大
anquanlong·2020-08-09 19:50

安全开发第一讲-如何利用java实现web2.0分布式爬虫引擎

由于web前端技术的日新月异,传统爬虫对页面的爬取结果愈发不能满足用户的需求。对于安全领域来讲,如果关注网站安全,那么获取页面的内容信息是第一步需要做的事情,所以开发出一款能够获取基于ajax实现的动态页面的爬虫是很有必要的。在写爬虫之前,我们首先需要了解爬虫的原理。对于我们需要获取页面内容的目标网站而言,其页面内容可以看做是从首页扩展出来的一张图,而爬虫要做的事情就是遍历这一张图的每个节点,获取
炒鸡辣鸡复读机·2020-08-09 16:35

安全开发第二讲-如何实现敏感词组的快速匹配

安全开发第二讲-如何实现敏感词组的快速匹配敏感词词组的例子模式今天&早上&吃饭词组模式可以将句子匹配词组化,从而减少纯句子匹配带来的漏报设待检测文本的大小为分词之后存在500个词语假如你手上有百万级的检测词组库
炒鸡辣鸡复读机·2020-08-09 16:04

安全开发】python安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-4-python%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8
an0708·2020-08-07 23:30

网易云易盾朱星星:最容易被驳回的10大APP过检项

其中网易资深安全开发工程师朱星星带来了主题为《安卓App安全过检实践》的干货分享,他认为工信部对移动APP应用安全过检要求日益增
weixin_33828101·2020-08-05 17:15

奋战两个月终于通过CISM认证

我自09年以来一直从事信息安全相关工作,先后历经安全开发,咨询顾问,合规,IT审计,渗透测试等岗位,持有CISSP,CISP,CBCP,ITIL,ISO27001等认证,现任职某银行网络安全经理.原已计划今年
信安小灵通·2020-08-05 10:15

十大干货安全议题,足以展望今年网络安全趋势

因为,看雪2019安全开发者峰会即将于7月20日在北京国家会议中心开幕2019安全开发者峰会(SDC)是由拥有19年悠久历史的老牌安全技术社区——看雪学院主办,CSDN、开源中国、博客园协办,会议面向开发者
blackorbird·2020-08-04 13:20

360-linux安全开发-深圳研究院-二面

因为360在广深岗位只有一个,所以硬着头皮去面。一面反馈不错,二面的感觉就是面试官一直在暗示我没有做过linux对口的项目,不太满意。虽然我有说,做过很多研发的项目,但看的出他比较无语hhh全程20分钟多一点。先问项目,基本都是我在说,可能他少接触windows下的软件开发。1、问了课程。讲了学过嵌入式,学了嵌入式哪些内容?2、项目的话前端在哪个平台做的?3、音视频编码有做了哪些成就?4、linu
我走路靠风·2020-08-03 22:44

error C4703: 使用了可能未初始化的本地指针变量

p=1514问题描述:在用VS2012编译时出现下面的错误errorC4703:使用了可能未初始化的本地指针变量“eocd”问题分析:在VS2012创建项目时,会有一个勾选项,叫做“安全开发生命周期(SDL
Thomas_YiSaYa·2020-08-03 02:09

Android软件安全开发实践--收藏

过去两年,研究人员已发现Android上的流行软件普遍存在安全缺陷或安全漏洞。漏洞频发的原因可能有很多,例如以下几种。与一切都是集中管理的iOS相比,Android提供了一种开放的环境,在获得了灵活性、可以满足各种定制需求的同时,也损失了部分安全性。开发团队通常将精力集中在产品设计、功能实现、用户体验和系统效率等方面,而很少考虑安全问题。Android提供的安全机制比较复杂,开发者需要理解它们,并
iteye_8859·2020-08-03 00:16

vc++网络安全编程范例(14)-openssl bio编程

作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
weixin_30521161·2020-08-02 19:22

笔记:C语言

调用参考https://blog.csdn.net/daniaokuye/article/details/788964562.errorC4703:使用了可能未初始化的本地指针变量“xxx”原因开启了“安全开发生命周期
Simplicity_·2020-08-02 17:44

第三届看雪安全开发者峰会重磅来袭!

盛夏已临,看雪2019安全开发者峰会也即将于7月20日在北京国家会议中心正式开幕!
看雪学院·2020-07-31 20:59

安全开发之IP地址伪造

1.1IP地址伪造漏洞1.1.1漏洞挖掘1.1.1.1漏洞描述漏洞描述:IP地址伪造通常是伪造来源IP,为了绕过服务器端IP地址过滤,使非授权IP地址可以获取更多的防问权限。但是在正常的TCP/IP通信中,伪造数据包来源IP会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。既然无法实现TCP/IP层级别的IP伪造,那么可以在应用层HTTP协议通过X-Forwarded-For这个扩展头部
mxtxgd·2020-07-31 16:56

携程安全自动化测试之路

作者简介:陈莹,携程信息安全部安全开发工程师。2013年加入携程,主要负责各类安全工具的研发,包括线上日志异常分析,实时攻击检测,漏洞扫描等。
科技峰行者·2020-07-30 20:11

DevSecOps实践中 如何平衡网络安全与IT运维 用事件应急响应举个例子

随后又有过2次话题,1次是安全开发与安全运营的关系,2次是自动化安全运营5个步骤,今天再来看一个分析,是说网络安全与IT运维的关系平衡。拥有IT已经远远不够了,企业还需要一个独立的安全团队。
weixin_34248023·2020-07-30 03:30

Android应用安全开发之浅谈网页打开APP

一、网页打开APP简介Android有一个特性,可以通过点击网页内的某个链接打开APP,或者在其他APP中通过点击某个链接打开另外一个APP(AppLink),一些用户量比较大的APP,已经通过发布其AppLinkSDK,开发者需要申请相应的资格,配置相关内容才能使用。这些都是通过用户自定义的URIscheme实现的,不过背后还是Android的Intent机制。Google的官方文档《Andro
weixin_33696106·2020-07-30 02:33

PHP中SQL注入与跨站攻击的防范

无论你是否有足够的PHP安全开发经验,本文的目的就是用来帮助你构建更为
guomeiran·2020-07-29 18:52

科锐受邀出席2018安全开发者峰会

2018年7月21日安全开发者峰会由看雪主办,在国家会议中心隆重举行。
看雪学院·2020-07-29 12:15

7. 防御技术(目录)

防御技术7.1.团队建设7.1.1.红蓝对抗7.1.2.人员分工7.1.3.参考链接7.2.安全开发7.2.1.简介7.2.2.步骤7.2.3.参考链接7.3.威胁情报7.3.1.简介7.3.2.相关概念
Sumarua·2020-07-29 12:20

安全开发

文章目录7.2.安全开发7.2.1.简介7.2.2.步骤7.2.2.1.阶段1:培训7.2.2.2.阶段2:确定安全需求7.2.2.3.阶段3:设计7.2.2.4.阶段4:实现7.2.2.5.阶段5:验证
Sumarua·2020-07-29 12:20

2020-03-10-CISP初学

CISP五大知识类:1.信息安全保障信息安全保障基础、信息安全保障实践2.信息安全技术密码技术、鉴别与访问控制、操作系统安全、数据库安全、网络安全、应用安全、安全攻击与防护、软件安全开发3.信息安全法规标准信息安全法规与政策
祭酒不喝酒·2020-07-29 09:10

武汉科锐,助力2019 第三届看雪安全开发者峰会,引航创新!

第三届2019看雪安全开发者峰会(SDC)即将于7月20日在北京国家会议中心举行,由拥有19年悠久历史的老牌安全技术社区——看雪学院主办,中国最大的IT社区和服务平台CSDN协办,会议面向开发者、安全人员及高端技术从业人员
看雪学院·2020-07-28 02:25

安全开发】PHP安全编码规范

申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-2-php%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8C
Bypass--·2020-07-16 05:11

安全开发】C/C++安全编码规范

C本质上是不安全的编程语言。例如如果不谨慎使用的话,其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是,由于其灵活性、快速和相对容易掌握,它是一个广泛使用的编程语言。下面是针对开发安全的C语言程序的一些规范。1.1.1缓冲区溢出避免使用不执行边界检查的字符串函数,因为它们可能被用来进行缓冲区溢出攻击。下面是应该避免使用的函数。同时,也列出了每个函数相应的比较安全的替换方式
an0708·2020-07-15 20:14

第四章 常见的 Android 文件格式(三)(AndroidManifest.xml)

AndroidManifest.xmlAndroidManifest.xml文件的格式AXML文件格式AXML文件的修改AndroidManifest.xml其中存放了APK的大量配置信息:软件名称、图标、主题、包名、组件配置等合理、安全地配置组件是安全开发中最重要的一课
zlmm741·2020-07-15 16:59

每日安全资讯(2019.02.13)

https://www.secrss.com/articles/8310身份管理的15个安全开发实践身份管理中我们常会谈及所谓“武器化身份”的概念,也就是强化系统中的接入点和用户与服务交互的位置。
溪边的墓志铭·2020-07-15 00:48
上一页 2 3 4 5 6 7 8 9 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他