应用安全第28页

web扫描工具-Jsky使用

竭思是一款深度WEB应用安全评估工具，能轻松应对各种复杂的WEB应用，全面深入发现里面存在的安全弱点。

小鱼儿157·2020-06-27 01:36

常见针对Web应用攻击的十大手段

一、Web应用安全威胁分为如下六类：Authentication（验证）用来确认某用户、服务或是应用身份的攻击手段。

小灰辉先生·2020-06-26 21:56

Android使用KeyStore对数据进行加密

Android安全性话题，AndroidDevelopers官方网站给出了许多很好的建议和讲解，涵盖了存储数据、权限、网络、处理凭据、输入验证、处理用户数据、加密等方方面面密钥的保护以及网络传输安全应该是移动应用安全最关键的内容

子不语归来·2020-06-26 21:27

阿里云LinkID²获得商用密码应用安全性评估基本符合结论

商用密码应用安全性评估（简称密评）工作是密码检测认证体系的重要组成部分，12月26日，阿里云LinkID²物联网设备身份认证服务平台荣获商用密码应用安全性评估基本符合结论报告，成为阿里巴巴集团首款获得该结论的产品

安全家·2020-06-26 18:44

Fastjson RCE漏洞的绕过史

Author:平安银行应用安全团队-Glassy引言最近一段时间fastjson一度成为安全圈的热门话题，作为一个是使用十分广泛的jar包，每一次的RCE漏洞都足以博得大众的眼球，关于fastjson每次漏洞的分析也已经早有大牛详细剖析

systemino·2020-06-26 17:38

[Applet]Chrome中运行Applet应用

本地应用安全允许在Ch

suxiang198·2020-06-26 16:41

《密码法》之商用密码应用安全性评估----六问

密评六大基础问题解答商用密码应用安全性评估，以下简称密评：Q1：运营单位怎么判定是否需要开展商用密码应用安全性评估？

sun_jack91·2020-06-26 15:27

《Spring实战》-第九章:Spring Web应用安全（Spring Security）

慢慢来比较快，虚心学技术安全性是绝大多数应用系统中的一个重要切面（aspect），之所以说是切面，是因为安全性是超越应用程序功能的一个关注点。应用系统的绝大部分内容都不应该参与到与自己相关的安全性处理中。尽管我们可以直接在应用程序中编写安全性功能相关的代码（这种情况并不少见），但更好的方式还是将安全性相关的关注点与应用程序本身的关注点进行分离一、什么是SpringSecurity?一种基于Spri

廖小明的赖胖子·2020-06-26 14:40

2018年云上挖矿态势分析报告》发布，非Web类应用安全风险需重点关注

近日，阿里云安全团队发布了《2018年云上挖矿分析报告》。该报告以阿里云2018年的攻防数据为基础，对恶意挖矿态势进行了分析，并为个人和企业提出了合理的安全防护建议。报告指出，尽管加密货币的价格在2018年经历了暴跌，但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段，越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于入侵挖矿，黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续。以下

迷你芊宝宝·2020-06-25 23:56

DVWA的安装以及使用一

DamnVulnerableWebApplication)是一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程

白马青衫是少年·2020-06-25 23:16

DVWA的安装过程

DamnVulnerableWebApplication）是一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程

水中煮鱼冒气·2020-06-25 22:57

国内逆向开发第一人——沙梓社（狗神）现场直播分享！！

狗年伊始，大家也正摩拳擦掌要提升自己上个新台阶，所以过完大年的第一场在线沙龙，我们为老铁们准备了丰富的进阶大餐，从游戏App应用安全、iOS开发大牛《iOS应用逆向工程》作者沙梓社的新鲜分享，到最火爆的区块链游戏

qq_41609709·2020-06-25 20:19

OWASP top10（OWASP十大应用安全风险）之A8 不安全的反序列化（Insecure Deserialization）

TOP8不安全的反序列化（InsecureDeserialization）注意：OWASPTop10指出，此安全风险是由行业调查添加的，并非基于可量化的数据研究。每个Web开发人员都需要使攻击者/安全研究人员尝试使用与应用程序交互的所有内容（从URL到序列化对象）的事实，使和平。在计算机科学中，对象是数据结构。换句话说，一种构造数据的方式。为了更容易理解一些关键概念：序列化的过程是将对象转换为字节

qq_39682037·2020-06-25 16:36

DVWA环境搭建

DamnVulnerableWebApplication）是一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全从业人员测试自己的专业技能和工具提供合法的环境，帮助Web开发者更好的理解Web应用安全防范的过程

wx_782169030·2020-06-25 15:34

介绍ARM汇编(1)

ARM笔记一、背景介绍把关键代码放在So中，已经是Android应用安全防护的主流，Java层用JADX等反编译工具可以得到与源代码相差无几的伪代码，So层反编译的难度则大很多，主要使用IDA等工具，得到的是汇编代码

qq_38851536·2020-06-25 15:15

iOS逆向 - 应用签名原理及重签名 (重签微信应用实战)

为了应用安全,我们首先要知道Hackers都是怎么做的,他们如何做到可以调试我们的应用.在此基础上我们才能知道如何更有效的进行防护.在逆向的路上,很重要的一步就是应用重签名,以此达到调试别人应用的目的.

lb_·2020-06-25 12:50

机器学习在网络安全领域的应用（四）

本节从应用软件安全、社会网络安全两个方面，介绍机器学习在应用安全中的相关研究工作。

luckmia·2020-06-25 10:44

机器学习在网络安全领域的应用(一)

针对安全领域的5个研究方向(指网络空间安全基础、密码学及其应用、系统安全、网络安全、应用安全)，机器学习在系统安全、网络安全、应用安全三个方向有大量的研究成果，而在网络安全基础和密码学及其应用方面的研究较少涉及

luckmia·2020-06-25 10:44

阿里云服务器配置https证书(免费版)

1.签发证书首先进入阿里云官网>控制台>安全(云盾)>ssl证书(应用安全)点击购买证书依次点击:Symantec>增强型OVSSL>免费型DVSSL>立即购买补全进度并填写相关信息即可下载证书forNginx2

龙虾大王·2020-06-25 09:22

iOS应用安全：一：class-dump的安装和使用

class-dump的作用class-dump用于导出App的头文件，并不会导出实现文件，虽然看不到实现文件只看到头文件，但这也是危险的，知道头文件又能读懂头文件这样整个程序的框架就很清楚了，头文件中的属性和方法都是见字识意的，username就是用户名，password就是密码咯，login就是登录方法了，这样子能够知道程序的很多信息。class-dump的安装下载class-dump:http

粑粑又被注册了嘛·2020-06-25 06:39

F5-WAF-12.0

平台：CentOS类型：虚拟机镜像软件包：f5bigipbasicsoftwaresecuritywaf服务优惠价:按服务商许可协议云服务器费用:查看费用立即部署产品详情产品介绍BIG-IP应用安全管理器

ITknight·2020-06-24 16:35

Spring Boot Security介绍以及教程

SpringBootSecurity介绍以及教程1、SpringBootSecurity介绍SpringBootSecurity是在SpringSecurity基础上应用到SpringBoot上的一个框架，为应用程序提供了一个应用安全校验途径

ConfidentWU·2020-06-24 14:43

应用安全配置管理的常见方式和原则

无论是微服务还是单体应用，往往都会用到很多配置信息。在众多的配置信息中，有一类非常敏感，例如数据库账号密码、APIKey、ServiceAccount等。由于其特殊性，这些配置信息一旦泄露出去就很可能会使得应用遭到黑客攻击，例如数据库账号密码泄露可能导致“拖库”，甚至数据丢失。在实际开发过程中，有几种常见的敏感配置信息管理方式，其优缺点各不相同，让我们依次来看看。3种常见方式方式一：存储于独立的源

独自旅行·2020-06-24 10:11

安全测试|移动端安全测试drozer

手机应用的快速增长，手机应用安全成为一个热门的话题，android的安全问题有一大部分的原因是因为android的组件暴露、权限使用不当导致的。

夏天_585c·2020-06-24 09:01

Web应用安全

一、三种坏人与servlet安全网络攻击者对应的servlet安全规范假冒者（Impersonator）认证非法升级者（Upgrader）授权窃听者机密性数据完整性认证可以防止“假冒者”攻击，授权可以防止“非法升级者”攻击，机密性和数据完整性可以防止“窃听者”攻击。二、认证与授权Web容器进行认证与授权的过程：客户端：浏览器向容器请求一个web资源发出请求；服务端：容器接受到请求时，容器在“安全表

javaadu·2020-06-24 08:24

在ubuntu18 搭建DVWA1.9 的教程

他的主要目的是帮助安全专业员去测试他们的技术和工具在合法的环境里面也帮助开发人员更好的理解如何加固他们开发的web系统同时帮助老师或者学生去教或者学习web应用安全在教学环境里面。

ljflm·2020-06-24 07:38

敏捷精益团队面临的三大安全挑战

应用安全不能只依靠防火墙，必须要在应用开发阶段采取适当的安全控制措施，使得应用在发布上线前就具备较好的安全性，避免人为失误造成安全隐患。

独自旅行·2020-06-24 06:58

一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈

袁新平@默安科技一、全球面临软件安全危机我们即将处于一个软件定义一切的时代，这是“一个最好的时代，也是一个最坏的时代”。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行，以及医疗，还是国防领域中的火箭、导弹、卫星等，都离不开软件技术。然而，软件技术在促进社会发展的同时，也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全，这类案例不胜枚举。2010年，大型社交网站rockyou.com被

liqiuman180688·2020-06-24 06:43

android 应用安全-无源码加壳优化

该博客基于>【http://blog.csdn.net/jiangwei0910410003/article/details/48415225/】大神的文章分析完善的，若没了解过基础请先移步大神博客看看。完善点：1经过某加密内部测试可兼容98%机型[android4.0-6.0].2全自动重签名打包输出.3dex通过开源libturbo-dex库秒级加载dex.完善点一：androidActivi

fplei·2020-06-24 03:21

云上应用安全

云上应用安全注意事项由于云环境其灵活性、开放性、以及公众可用性这些特性，给应用安全的基本假设带来了很多挑战。这些假设中的一部分可以很好理解，而很多却不容易理解。

xmvip01·2020-06-24 00:30

移动应用安全

1APP开发安全1.1Androidmanifest配置安全1.2activity组件安全1.3service组件安全1.4provider组件安全1.4.1私有权限定义错误导致数据被任意访问1.4.2本地SQL注入漏洞1.4.3目录遍历漏洞1.5brodcastreceiver组件安全1.5.1接收安全1.5.2发送安全1.6Webview组件安全2APP业务安全2.1代码安全2.1.1代码混淆

test_sharing·2020-06-23 23:42

PHP相关系列 - PHP开发web应用安全总结

XSS跨站脚本概念：恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。危害：盗取用户COOKIE信息。跳转到钓鱼网站。操作受害者的浏览器，查看受害者网页浏览信息等。蠕虫攻击。描述：反射型跨站。GET或POST内容未过滤，可以提交JS以及HTML等恶意代码。代码：//正常URLuser.php?msg=henhao

阿里十年老码农zhuli·2020-06-23 18:11

大数据应用安全研究报告

一、阿里云大数据安全实践阿里云数加大数据平台提供从数据采集，加工、数据分析、机器学习到最后数据应用的全链路技术和服务。基于阿里云数加大数据平台，除了可以打造智能可视化透明工厂、智能交通实时预测和实时监控监测、智能医院就医接诊服务，以及大数据网络安全态势感知系统外，还可以打造成一个满足政府不同部门以及政企之间实现数据共享的数据交换平台。为了保障数据共享和交换过程中的数据安全，数家大数据平台通过安全机

hongtaq156136·2020-06-23 15:11

理解 Docker

什么是Docker平台Docker内核能将应用安全地运行于一个个容器中。同时，它的容器是轻量级的，因而可以在一台主机上同时运行很多个容器。围

haiiiiiyun·2020-06-23 12:08

Spring和Token整合详解

SpringSecurity基于Spring框架，提供了一套Web应用安全性的完整解决方案。

逍遥天扬·2020-06-23 07:21

Java探针-Java Agent技术-阿里面试题

Java探针参考：Java探针技术在应用安全领域的新突破最近面试阿里，面试官先是问我类加载的流程，然后问了个问题，能否在加载类的时候，对字节码进行修改我懵逼了，答曰不知道，面试官说可以的，使用Java探针技术

diaopai5230·2020-06-23 04:28

Nessus导入Cookie进行Web应用安全扫描

在不导入Cookie使用Nessus进行扫描的时候，扫描的结果是比较简单的，很多深层的问题无法被扫描出来。需要我们手动导入Cookie，带着Cookie的状态扫描的结果会更详细更深入，以下是操作步骤:在网站登录状态下，在浏览器地址栏输入document.cookie将光标移至行首手动输入javascript:完整格式如下:javascript:document.cookie回车后可查看到Cooki

dcx3291777·2020-06-23 03:38

2014年企业级移动应用安全风险分析

但是移动应用安全风险依旧！据IDC数据显示，目前在全球范围内有12亿人在外用移动应用办公，有69%的用户表示会用自己的手机去访问公司的网络，且此数量还在不断攀升。

chixian2461·2020-06-22 22:32

读书笔记——吴翰清《白帽子讲Web安全》

目录第一篇世界观安全一我的安全世界观第二篇客户端脚本安全一浏览器安全二跨站脚本攻击（XSS）三跨站点请求伪造（CSRF）四点击劫持（ClickJacking）五HTML5安全第三篇服务端应用安全一注入攻击二文件上传漏洞三认证与会话管理四访问控制五加密算法与随机数六

amen10018·2020-06-22 13:12

DVWA 报错

DamnVulnerableWebApplication）是一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程

0yst3r·2020-06-22 11:16

Web应用安全测试

https://blog.csdn.net/aojie80/article/details/43836521缩略语清单缩略语全称CRLF\r\n回车换行LDAPLightweightDirectoryAccessProtocol轻量级目录访问协议MMLman-machinelanguage人机交互语言SessionID标志会话的IDWebServiceWeb服务是一种面向服务的架构的技术，通过标准

a963241242·2020-06-22 11:51

Suricata镜像流量解析--Suricata部署

目前公司的应用安全防火墙（WAF）基于日志做的拦截，日志来源于Nginx服务器的lua模块，对于Nginx性能有一定的损耗，加上系统解耦的需要。

Zpz501·2020-06-22 10:33

Android 应用防止被二次打包指南

二次打包问题只是Android应用安全风险中的一部分，一般是通过反编译工具向应用中插入广告代码与相关配置，再在第三方应用市场、论坛发布。

网易云社区·2020-06-22 09:25

Gartner魔力象限应用安全测试报告发布新思科技再次位居“领导者”

随着软件开发方法越来越复杂，软件开发商对应用安全测试(AST)解决方案的要求也越来越高。很多企业在选择AST工具的时候会参考一些权威机构的报告，最为业界熟知的莫过于Gartner魔力象限报告。

IaminChinanow·2020-06-22 04:33

Android应用安全方面的设计

1.so文件加解密工具1.原理1.通过将app的包名签名签名的hash值预置到c++写的代码里面2.将上述信息和object获取到的调用app的包名签名以及hash进行对比进行校验3.在c++层里面预置非对称加密的公钥或者对称加密的密钥。4.选择加密算法5.将加密结果返回调用层，同时释放占用的内存6.需要注意的是：需要防止调试防止内存获取2.代码GitHub地址：2.keystore加解密工具1.

MatrixMind·2020-06-22 01:39

信息安全与网络安全的区别

一、包含和被包含的关系信息安全包括网络安全，信息安全还包括操作系统安全，数据库安全，硬件设备和设施安全，物理安全，人员安全，软件开发，应用安全等。

小蓝科研记录分享·2020-06-21 23:39

如何做好iOS应用安全？这有一把行之有效的“三板斧”

本文来自网易云社区iOS应用面临很多破解问题，常见的有IAP内购破解、山寨版本、破解版本等；大众应用上，微信抢红包、微信多开等；而在iOS游戏上，越来越泛滥的外挂问题也不断困扰着游戏厂商。网易云易盾资深安全开发工程师王桂林3月17日，Cocoa社区CVP系列开发者沙龙在北京举办，网易云易盾资深安全开发工程师王桂林出席沙龙，并做《iOS游戏的破解以及防护》的演讲，分享了究竟该如何做好App的安全防护

网易云社区·2020-06-21 22:01

【应用安全——XSS】修复建议

本身XSS输出位置不同，且可构造的Payload很多，一般是从一下三个角度来修复。httponly一般谈到cookie时，所对应的安全配置有httponly和secure。Httponly：为了防止设置了该标志的cookie被JavaScript读取。Secure：只能通过HTTPS使用，确保在从客户机传输到服务器时，cookie总是被加密的。Jboss中可以在content.xml中配置使用al

FLy_鹏程万里·2020-06-21 20:05

等保1.0和等保2.0、新技术新业务的学习（一）

信息安全技术信息系统安全等级保护基本要求》1、受众群体：信息系统2、引用了17859《计算机信息系统安全保护等级划分准则》3、分成五级保护能力4、基本安全要求分为基本技术要求+基本管理要求基本技术要求：物理安全网络安全主机安全应用安全数据安全基本管理要求

Mary W·2020-06-21 19:55

推荐频道

应用安全