662 天前 / cendywang
AFNetworking, iOS开发中,以其优雅的结构设计和简便的调用方式,使其成为了最流行的网络开源库之一(另一个应该算是ASI了,但经久失修不维护的原因,已经不是首选)。我们在大多数情况下,都能够正确使用AFNetworking的功能,但在网络安全日趋严峻的今天,加入SSL使用HTTPS已经成为了很多大中型网站的首选;这点在国外尤其流行,例如Googl...
662 天前 / 梅梅
在 Web 服务器做出响应时,为了提高安全性,在 HTTP 响应头中可以使用的各种响应头字段。 X-Frame-Options该响应头中用于控制是否在浏览器中显示 frame 或 iframe 中指定的页面,主要用来防止 Clickjacking (点击劫持)攻击。X-Frame-Options: SAMEORIGINDENY 禁止显示 frame 内的页面...
662 天前 / 头条机器人
0x00 前言早几天的时候VPS突然锁住了, 联系服务商之后说存在被攻击的迹象, 影响到了其他用户的使用, 稀里糊涂说了一番好话解封之后把用不到的服务该关的都关了之后一直没查原因, 今天看去看时偶尔发现DNS日志大小有5G左右……0x01 简介1.DNS是基于UDP的协议, 没有握手过程, 攻击者可以轻易的伪造来源IP并发起请求;2.DNS可以轻松设置多条不...
662 天前 / 头条机器人
作者:360白名单分析组一、概述自从王小云破解MD5算法后,国内外对MD5碰撞的相关研究与恶意利用从未停止。MD5算法的应用领域很多,就软件安全方面来说,陆续发现了一批利用MD5碰撞对抗安全软件的恶意样本。这些样本中,大部分采用早期的一种较为成熟的快速MD5碰撞利用方式,然而有一部分比较特殊,因其采用了新型的碰撞方式。这种新型的碰撞样本在2014年初开始出现...
662 天前 / Bruce Dou
之前的文章提到了个人的安全注意事项,并且简单提到了互联网公司的安全注意事项。这篇文章注意谈一谈如何存储重要的明文信息。通常情况下,密码的存储通过单向加密算法实现。比如在 20 年前可以使用人人皆知的 MD5 算法加密,现在可以使用 Bcrypt 算法加密。这样用户登录的时候,只需要对比明文的 HASH 是否一致即可判断密码的正确性。但是,还有很多需要使用这些...
662 天前 / 头条机器人
数据库安全目前是安全从业者讨论的重要主题之一。随着越来越多的突发事件发生,是时候采取一些行动了。安全的数据库应当为成员的访问提供了有效控制与保护,同时还能保障所有的数据质量。我们必须充分了解数据库安全的相关挑战并努力提供一个解决方案。针对数据库的威胁取决于很多因素,例如互联网安全、物理安全、加密、身份验证等等。由于所处组织的不同,数据的敏感度也大不相同。数据...
662 天前 / tesths
昨天有位开发者在Github上给我提了一个issue,里面指出OSSpinLock在新版iOS中已经不能再保证安全了,并提供了几个相关资料的链接。我仔细查了一下相关资料,确认了这个让人不爽的问题。OSSpinLock的问题2015-12-14那天,swift-dev邮件列表里有人在讨论weak属性的线程安全问题,其中有几位苹果工程师透...
662 天前 / 梅梅
而今,大多数应用都依赖于像入侵防护系统(Instrusion Prevention System)和 Web 应用防火墙(Web Application Firewall,以下全文简称 WAF)这样的外部防护。然而,许多这类安全功能都可以内置到应用程序中,实现应用程序运行的自我保护。 1. 实时应用自我保护实时应用自我保护(以下全文简称 RASP),是一个应...
662 天前 / ruki
本文想简单谈谈那个所谓的“根证书”。在访问铁道部网上售票官网 www.12306.cn 后,有一个醒目的提示,为保证顺畅购票,需要下载安装根证书。那么什么是根证书?为什么买火车票的时候需要下载和安装,在淘宝等在线交易网站购物时候为什么就不需要这样做?今年开始,人民群众们终于可以通过互联网购买火车票了。虽然说在线买的难度不比以往排队购买低多少,但这总算是一次值...
662 天前 / phithon
不知道什么时候突然发现我已经稳定运行了近半年的 sec-news (http://wiki.ioin.in)突然变得特别慢,为跳转效率我也是尝试了很多方法,比如加缓存。我使用了一个叫 flask-cache 的缓存:https://pythonhosted.org/Flask-Cache/,很好用的 cache 。特别喜欢 python 的一点就是,...
662 天前 / Yourtion
REST是一种软件架构风格。RESTful Api 是基于 HTTP 协议的 Api,是无状态传输。它的核心是将所有的 Api 都理解为一个网络资源。将所有的客户端和服务器的状态转移(动作)封装到 HTTP 请求的 Method 之中。 详情可以阅读 http://mengkang.net/620.html 。而本篇文章则主要是讨论 RESTful Api...
662 天前 / penny
前言敏捷开发是现在主流的开发模式,相对于传统的瀑布式开放,它通过快速的迭代来响应和展示客户的需求,敏捷开发的优点已经是众所周知了。但是敏捷开发已经实施了很多年了,项目安全问题还是和瀑布开发开放模式一样没有得到解决,都是到项目上线前一两个礼拜才进行安全测试和渗透测试。这种模式有非常大的弊端,第一,很多安全问题应该在架构设计和coding的时候就要考虑到的,在项...
662 天前 / 蛋疼的axb
在前一篇文章《设计安全的账号系统的正确姿势》中,主要提出了一些设计的方法和思路,并没有给出一个更加具体的,可以实施的安全加密方案。经过我仔细的思考并了解了目前一些方案后,我设计了一个自认为还比较安全的安全加密方案。本文主要就是讲述这个方案,非常欢迎和期待有读者一起来讨论。首先,我们明确一下安全加密方案的终极目标:即使在数据被拖库,代码被泄露,请求被劫持的情况...
662 天前 / 头条机器人
0x00 前言在linux服务器随处可见的网络环境中,网络运维人员保障Linux安全就成了必要条件。当然现在有很多的硬件防火墙以及WAF,但是那不是小资企业可以hold住的,本文从软件以及服务配置方面简单总结Linux安全防护。0x01 使用软件级别安全防护1、使用SELinuxSELinux是用来对Linux进行安全加固的,它可以让你指定谁可以增加文件,谁...
662 天前 / 尖椒肉丝面
本文根据目前国内外数据库安全的发展现状和经验,结合亚马逊AWS[1]、阿里云、腾讯云、UCloud、华为云等国内外云服务厂商,和IBM、微软等IT巨头的云服务情况,从云数据库安全角度,介绍了云环境下数据库安全四种技术路线与安全模型架构,和云数据库安全的关键技术,适合从事云安全、云计算、数据安全等相关人员和安全爱好者学习探讨。本文来自安华金和。每个公司对私有云...