应用安全第23页

《Android应用安全设计及安全编码指导手册》【2017年2月1日英文版】

《Android应用安全设计及安全编码指导手册》【2017年2月1日英文版】1.最新版本【2017年2月1日英文版】发布日期：2017年4月7日。

爱博客大伯·2020-08-09 13:22

混合云架构下的安全风险分析和安全解决方案建议

混合云环境下需要考虑到的安全风险包括：•公有云厂商及其安全服务的选择•私有云安全防护能力建设•混合云环境下的服务器、容器、无服务器应用安全•混合云环境下的数据安全•统一

新钛云服·2020-08-09 06:00

第2章渗透测试方法论一篇就够了

黑盒测试2.1.2白盒测试2.2脆弱性评估与渗透测试2.3安全测试方法论2.3.1开源安全测试方法论（OSSTMM）2.3.2信息系统安全评估框架2.3.3开放式Web应用程序安全项目2.3.4Web应用安全联合威胁分类

Sumarua·2020-08-09 05:07

应用安全 - 安全设备 - WAF原理/检测/绕过

原理基于Cookie值CitrixNetscaler（2013年使用广泛）“CitrixNetscaler”会在HTTP返回头部Cookie位置加入“ns_af”的值，可以以此判断为CitrixNetscaler的WAF，国内此类WAF很少1GET/HTTP/1.12Host:target.com3User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64;rv:25.0)

weixin_30919429·2020-08-09 00:44

服务端应用安全——加密算法与随机数

0.基础知识加密算法分类：分组加密将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列代表算法：DES、3-DES、Blowfish、IDEA、AES等流加密明文数据每次与密钥数据流顺次对应加密，得到密文数据流代表算法：RC4、ORYX、SEAL攻击者攻击方式：唯密文攻击攻击者只有使用同一加密算法

Charle_·2020-08-08 20:13

【常见Web应用安全问题】---4、Directory traversal

常见Web应用安全问题安全性问题的列表：１、跨站脚本攻击(CSSorXSS,CrossSiteScripting)２、SQL注入攻击(SQLinjection)３、远程命令执行(Codeexecution

weixin_34331102·2020-08-08 00:11

《web应用安全权威指南》心得

0x00：简介《web应用安全权威指南》是日本的德丸浩先生以一位Web开发人员的视角，较为详尽的介绍了Web应用中常见的安全问题与解决对策。

LandGrey·2020-08-07 23:44

CISSP-CBK十大知识体系

InformationSecurityandRiskManagementCBKDomain2安全结构与设计SecurityArchitectureandDesignCBKDomain3访问控制AccessControlCBKDomain4应用安全

weixin_33769207·2020-08-07 20:01

有趣的请求参数/请求头

参考大佬的文章我的Web应用安全模糊测试之路WebFuzzing方法和漏洞案例总结实战笔记之服务端逻辑重构漏洞大佬的字典fuzzDicts前言加一个参数就是一个洞。

R0oKi3·2020-08-05 23:00

网易云易盾朱星星：最容易被驳回的10大APP过检项

其中网易资深安全开发工程师朱星星带来了主题为《安卓App安全过检实践》的干货分享，他认为工信部对移动APP应用安全过检要求日益增

weixin_33828101·2020-08-05 17:15

应用安全 - 操作系统安全 - Linux系统加固

1#!/bin/sh2#L5500-检查日志文件权限设置3functionresultCheck(){4echo"["$1"]["$2"]["$3"]["$4"]"5}67functionlogdirCheck(){8LOGDIR=$(cat$1|grep-v"^[[:space:]]*#"|sed'/^#/d'|sed'/^$/d'|awk'(($2!~/@/)&&($2!~/*/)&&($2!

weixin_30865427·2020-08-05 14:23

一文教会安全测试靶机-DVWA搭建

简介DVWA（DamnVulnerableWebApp）是一个基于PHP/MySql搭建的Web应用程序，其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具，并帮助Web开发者更好的理解Web应用安全防范的过程

zcty2020·2020-08-05 12:19

全局存储型XSS漏洞修复

跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意

大白菜鸟·2020-08-05 11:11

Kali部署DVWA和OWASPBWA

其中遇到的问题会在下一篇文章记录DVWA（DamnVulnerableWebApp）是一个基于PHP/MySql搭建的Web应用程序，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助Web开发者更好的理解Web应用安全防范的过程

weixin_30849403·2020-08-05 11:31

H3C防火墙特征库升级失败排查

H3C新一代防火墙（NGFW）融合了很多应用安全层面的功能，比如IPS（入侵检测系统）、ACG（应用识别）、AV（防病毒）、URL（超链接）检测、WAF（web应用防火墙）等功能，统称为DPI（深度报文检测

Danileaf_Guo·2020-08-05 09:24

安卓应用安全指南 5.7 使用指纹认证功能

5.7使用指纹认证功能原书：AndroidApplicationSecureDesign/SecureCodingGuidebook译者：飞龙协议：CCBY-NC-SA4.0目前正在研究和开发的各种用于生物认证的方法中，使用面部信息和声音特征的方法尤其突出。在这些方法中，使用指纹认证来识别个体的方法自古以来就有所使用，并且今天被用于签名（通过拇指印）和犯罪调查等目的。指纹识别的应用也在计算机世界的

布客飞龙·2020-08-05 03:56

安卓应用安全指南 5.4.3 通过 HTTPS 的通信高级话题

5.4.3通过HTTPS的通信高级话题原书：AndroidApplicationSecureDesign/SecureCodingGuidebook译者：飞龙协议：CCBY-NC-SA4.05.4.3.1如何创建私有证书并配置服务器在本节中，将介绍如何在Linux（如Ubuntu和CentOS）中创建私有证书和配置服务器。私有证书是指私人签发的服务器证书，并由Cybertrust和VeriSign

布客飞龙·2020-08-05 03:56

前沿 | 抗击黑产阿里安全八大实验室首秀技术实力

据介绍，八大实验室由双子座实验室、猎户座实验室、潘多拉实验室、归零实验室和钱盾反诈实验室、米诺斯实验室、图灵实验室以及蚂蚁金服光年实验室组成，涵盖AI前沿技术、IoT安全、系统安全、应用安全、数据安全与隐私保护

阿里安全·2020-08-04 23:33

如何高效检测APK漏洞，腾讯安全这款神器了解一下

随着移动安全威胁与日俱增，通过应用检测服务来提升应用安全性，

腾讯安全·2020-08-03 22:03

Android 实现浏览器跳转APP应用，网页也可以跳转APP

类似于端口，可用于分流，区分调取的功能path：同上※没有也可以唤起注意：Activity配置中android:exported="true"这个外部是否可以调用一定要写true,要不然会调用不成功，对于应用安全要求较高的一定要注意

Shine_on_the_earth·2020-08-03 07:33

确保微服务应用安全的四个最佳实践

随着在企业与容器应用方面DevOps实践逐渐普遍起来，安全管理者需要掌握维护应用安全的诀窍。下面这四条正是确保微服务应用安全的最佳实践范例。第一条：发现并监控服务间的通讯通常来说，安

周建丁·2020-08-03 00:05

常见的Web安全漏洞及测试方法介绍

如果开发者的安全意识不强，就会导致Web应用安全问题层出不穷。我们一般说的Web应用攻击，是指攻击者通过浏览器或者其他的攻击工具，在URL

conglian1917·2020-08-02 23:21

Shiro入门（1）

Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护

小9·2020-08-02 21:24

Spring Security密码登录流程源码分析

初识SpringSecurity是通过SecuriyFilterChains过滤器链来保证应用安全的，而这些过滤器链由FilterChainProxy（本质上是个Filter）来管理，每个uri都对应一个

读钓·2020-08-02 19:53

Web安全实践（9）攻击apache

gid=100566前言web安全实践系列主要是对《黑客大曝光——web应用安全机密与解决方案（第二版）》的内容做的实践研究和部分编程实现。所以如果您

weixin_34167819·2020-08-02 19:12

web渗透--48--堆栈轨迹测试

如调试信息中可能包含的应用安全路径，或对象调用方式等应用内部运作信息。2、测试方法2.1黑盒测试有

随亦·2020-08-02 14:40

浅析Web应用安全如何防御检查应用漏洞?

随着计算机技术的发展，网络漏洞也变得越来越多样化了，关于保障Web应用安全的专家分析也变多，漏洞现状也成为了被热烈讨论的话题。

chuzhanwa5229·2020-08-01 11:00

安卓应用安全指南 5.5.1 处理隐私数据示例代码

5.5.1处理隐私数据示例代码原书：AndroidApplicationSecureDesign/SecureCodingGuidebook译者：飞龙协议：CCBY-NC-SA4.0在准备应用的隐私政策时，你可以使用“协助创建应用隐私政策的工具”[29]。这些工具以HTML格式和XML格式输出两个文件-应用隐私策略的摘要版本和详细版本。这些文件的HTML和XML内容符合MICSPI的建议，包括搜索

布客飞龙·2020-08-01 06:27

10款免费工具：敏捷开发运维(DevOps)的好帮手

让开发人员全心全意投入应用安全(APPSEC)的关键方法之一，就是清除掉将安全过程嵌入日常工作流时遇到的诸多麻烦。DevSecOps取得成功的一大因素，在于公司有能力实现开发人员不会痛恨的安全工具。

weixin_34358092·2020-08-01 04:45

android 高级之旅 (二十) 应用安全与数据加密总结

应该坚决拒绝不加密地明文传输敏感数据这对整个安卓生态都是不负责的!最危险的是直接使用HTTP协议登录账户或交换数据。例如，攻击者在自己设置的钓鱼网络中配置DNS服务器，将软件要连接的服务器域名解析至攻击者的另一台服务器在，这台服务器就可以获得用户登录信息，或者充当客户端与原服务器的中间人，转发双方数据。这类问题的解决方法很显然-----对敏感数据采用基于SSL/TLS的HTTPS进行传输。Andr

lixuSpace001·2020-07-31 19:06

iOS应用代码注入防护

iOS开发之家·2020-07-31 10:10

In-App Purchase（iap）快速指南

StoreKit会连接AppStore，代替应用安全地完成用户支付。StoreKit提示用户授权支付，然后通知应用“用户已经完成支付”，这样应用就可以提供用户购买的东西。

iteye_20812·2020-07-30 23:10

appstore支付资料

IOSpurchase介绍所谓的IOS内支付就是在应用中内嵌Store，在iOSAPP中使用StoreKitframework来实现In-AppPurchase，StoreKit会连接AppStore，代替应用安全地完成用户支付的支付行为

wby__2005·2020-07-30 20:46

Centos6.5下安装mariadb

1、创建mysql用户mysql组（考虑到应用安全）#groupadd-rmysql创建mysql组#useradd-gmysql-r-d/mydata/data创建mysql用户#chownmysql

楚王天下·2020-07-30 09:55

DSQLTools的使用介绍--实验报告

web应用安全>实验十：DSQLTools的使用介绍返回进入实验机结束实验并释放实验机实验指导书实验任务：

0xddbug·2020-07-30 06:03

运维之监控与安全篇------1. Linux基本防护、用户切换与提权、 SSH访问控制

物理安全：主机，机房环境系统安全：操作系统用户管理磁盘挂载susudo文件设置特殊属性应用安全：网络服务与应用程序只允许管理员root有权限、设置进程的执行者是普通用户网络安全：防火墙（硬件防火墙和软件防火墙

ghostwritten·2020-07-30 05:08

Android应用安全开发之浅谈网页打开APP

一、网页打开APP简介Android有一个特性，可以通过点击网页内的某个链接打开APP，或者在其他APP中通过点击某个链接打开另外一个APP（AppLink），一些用户量比较大的APP，已经通过发布其AppLinkSDK，开发者需要申请相应的资格，配置相关内容才能使用。这些都是通过用户自定义的URIscheme实现的，不过背后还是Android的Intent机制。Google的官方文档《Andro

weixin_33696106·2020-07-30 02:33

应用安全 - 端口漏洞整理

21FTP弱密码22SSH弱密码23telnet弱密码25邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑53DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控69尝试下载目标及其的各类重要配置文件80IIS6RCE80-89应用服务器端口110POP3可尝试爆破,嗅探111NFS权限配置不当137SMB143

weixin_30549175·2020-07-30 02:13

一场"半途中止"物联网系统应用安全检测.

检测背景:学校直饮机引入物联网设备,用户体验下降,用水费用反而升高几倍...虽然很不满..但是懒人又不愿意烧水喝,还是只能喝直饮机的水.在使用的同时也对,此系统的架构产生一点点兴趣.....所以....声明:非专业安全人士,,,仅仅一时xing起...1.未采用https协议,利用charles简单抓包.抓包过程1.笔记本开启自带wifi,手机连上,开上charles.2.打开手机端控制app..

笛声hk·2020-07-30 01:25

XSS跨站脚本攻击

XSS跨站脚本攻击每日更新前端基础，如果觉得不错，点个star吧https://github.com/WindrunnerMax/EveryDay跨站脚本攻击XSS，是最普遍的Web应用安全漏洞。

WindrunnerMax·2020-07-29 23:41

使用 Wave 文件绕过 CSP 策略

转载自：https://mp.weixin.qq.com/s/ljBB5jStB7fcJq4cgdWnnw本文作者：梅子酒（来自信安之路学生渗透小组）赠送书籍：《Android应用安全防护和逆向分析》活动地址

hhhsan·2020-07-29 19:23

springboot使用jasypt增加应用安全性

无论任何开发安全问题也是我们应该考虑的部分，除了数据接口层面的安全性，数据库用户名密码等敏感信息也是需要考虑安全问题，日常开发中大多数也习惯写明文，这样如果代码泄露数据库也面临较大威胁，本次将分享数据库用户名、密码如何在springboot项目中配置和使用1解决方案解决上述问题其实比较简单，无非就是对数据库用户名和密码加密，但是可用的加密算法特别多，有对称加密的如DES、3DES（TripleDE

青蛙小王子·2020-07-29 17:28

Spring Boot整合Jasypt增强应用安全

前言Jasypt是一个Java库，允许开发人员以很简单的方式添加基本加密功能，而无需深入研究加密原理。利用它可以实现高安全性的，基于标准的加密技术，无论是单向和双向加密。加密密码，文本，数字，二进制文件…开发工具以及依赖版本信息Maven3.5.0JDK1.8.0SpringBoot2.1.1-RELEASEjasypt-spring-boot-starter2.0.0整合步骤一、加入依赖com.

Jackieonway·2020-07-29 13:40

SQL注入9种绕过WAF方法

通过检查HTTP的流量，它可以防御Web应用安全漏洞，如阻止来自SQL注入、跨站点脚本（XSS）、文件包含和安全配置错误。

weixin_30437847·2020-07-29 11:07

教你构建钓鱼网站--kali

OWASP是开发的Web应用安全项目，可供学习人员进行网络安全学习。下载地址URL。下载好.7z压缩包之后解压，找到里面的.vmx格式的文件用VM虚拟机打开，之后会进入一个DOS界面初始化的账户

hello_coder_kitty·2020-07-29 10:16

【应用安全——XSS】字符编码绕过

编码转换工具：http://bianma.51240.com/html实体编码html标签中支持十进制，例如：十六进制，例如：可以不带分号可以填充0绕过关键字过滤//Tab//回车//换行//编码冒号//HTML5新增的实体命名编码，IE6、7下不支持URL编码xx当输出环境在href或者src时，是可以通过javascript伪协议来执行JS的，例如test同样src中是可以进行URL编码的，需

FLy_鹏程万里·2020-07-29 09:43

2020-03-10-CISP初学

CISP五大知识类：1.信息安全保障信息安全保障基础、信息安全保障实践2.信息安全技术密码技术、鉴别与访问控制、操作系统安全、数据库安全、网络安全、应用安全、安全攻击与防护、软件安全开发3.信息安全法规标准信息安全法规与政策

祭酒不喝酒·2020-07-29 09:10

OATH协议——首个区块链安全治理和纠纷众裁协议

在区块链技术为人关注且发展迅速的今天，其落地及应用安全变得尤为重要。OATH致力于链上安全治理和纠纷化解，以确保区块链项目整个流程的高效和公平公正。

OathProtocol·2020-07-29 01:35

【安全测试】Web应用安全之XSS跨站脚本攻击漏洞

前言以前都只是在各类文档中见到过XSS，也进行过相关的学习，但是都是一知半解，过了一段时间就忘了。前几天我们收到了了一份标题为《XX账号昵称参数中存在存储XSS漏洞》的报告文档，来源是一个叫漏洞盒子的机构，看它的官方介绍，是一个互联网安全测试众测平台。第一次在实际工作中遇到相关的问题，所以决定再系统的学习一下，此篇为学习记录。XSS概念及分类XSS全称(CrossSiteScripting)，直译

weixin_30815427·2020-07-28 17:30

20169212 2016-2017-2 《网络攻防实践》第五周学习总结

学习了Web应用体系结构、Web应用安全威胁、SQL注入相关内容、XSS跨站脚本攻击的原理及实例；Web浏览器、网页木马、钓鱼技术等内容。对Web安全有了一个大致的理解。教材学习中的问题和解决过程

weixin_30322405·2020-07-28 16:37

推荐频道

应用安全