3 天前 / 小道安全
在这个数字化转型关键时期,以容器为代表的云原生技术凭借自身的优势,正在逐渐成为核心 IT 基础设施。云原生已经不再是少部分“创新者”的特权,而是成为了市场主流选择,容器、容器云逐渐成为工作负载的主流形态。 与此相随,云原生大量的新技术,也带来了众多未知的风险敞口,安全防护对象也发生了颠覆性变化,容器正在逐渐成为黑客新的演练场。 容器成为重要的攻击目标在容器时代,安全面临新旧威胁的双重挑战。一方面,那些传统旧的攻击手段依然有效,包括漏洞利用、暴力破解、权限提升等等。
13 天前 / 冷星1024
前言 各位要懂得保护自己。今日前端早读课文章由腾讯 @camdyzeng 分享。 @camdyzeng:腾讯 CSIG 前端开发高级工程师。团队主要致力于前端相关技术的研究和在腾讯业务的应用,团队内部每周有内部分享会,有兴趣的读者可以加入我们或者参与一起讨论。邮箱:[email protected]。 正文从这开始~~ 关于 CSRF 你想知道的都在这里了。 CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了...
29 天前 / gyreg
点击蓝字关注我们 多年前与一位老司机的对话:“终端只要管好软件、补丁、防病毒,就能拿 80 分。”估计因为只是个闲聊,老司机的话还是有所保留,只讲出了快速止血的方法。针对终端安全风险来源的多样化——浏览网页、浏览邮件、即时聊天、软件下载、外设使用、BYOD 等,基本的防护措施有哪些? 终端安全的技术体系 NO.1 基础安全防护 1、操作系统版本 记得在内部的一次安全培训中做过一个比喻:“终端操作系统就像人的身体,是革命的本钱,身体要是不行了,穿再多的避弹衣无补于事。
31 天前 / Yourtion
总第 511 篇 2022 年 第 028 篇 随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇。目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面安全部门需要投入更多的精力。 但由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件、这些开源组件可能存在哪些严重的安全隐患等相关的问题,几乎是没有任何能力去进行收敛,多年前的 SCA(Software Composition Analysis 软件成分分析)技术又重出江湖,变成该领域险治理的一个“神器”。
47 天前 / gyreg
SASETECH,是国内首个由汽车安全专家发起组建的技术社区,致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。 译文 预期功能安全(SOTIF)的应用 作者:Amr Abdulazim Moustafa Elbahaey Abduallah Mohamed Autonomous Instruments 译文审核:郭金 汤黎超 引用:Abdulazim,A., Elbahaey, M.Mohamed, A., “Putting Safety of Intended Functionality SOTIF into Practice,” 目录 1. 前言 2.预期功能安全 3.安全攸关场景 4.相关研究 5.本文提出的模型 6.实验 7.讨论 8.结语 9.文献 01 丨前言 自动驾驶日益成为汽车行业发展的方向之一 [...
53 天前 / gyreg
1 引言 神奇管家是 58 集团 TEG 技术保障部基于「零信任理念」自主设计和研发的一套零信任安全管理系统,是 58 集团在零信任网络安全领域方面的首次尝试并落地的解决方案。该方案通过打造神奇管家客户端、零信任网关、统一管控中心三大核心组件,实现对集团内部资源和数据的安全访问和管控,同时基于终端安全、身份安全、应用安全、链路安全等核心能力,对桌面终端访问过程进行持续的权限控制和安全保护,确保对企业资源的可信访问,助力集团降低内网办公、远程办公、云上办公等不同业务场景风险,满足员工无论身处何地,都可随时访问授权资源...
82 天前 / 冷星1024
大家好,我是 Peter!提起 CORS,大部分的文章都在写什么是简单请求、什么是复杂请求,复杂请求预检的流程又是怎样。 但如果问你: CORS 为什么要带上源,这是为了保障当前站点的安全还是目的服务器的安全?为什么区分简单请求和复杂请求,只对复杂请求做预检?这篇文章会围绕 CORS 是如何保障安全的的,讲清这几个问题。读完可以对 CORS 知其然,并知其所以然。 什么是 CORS 相信每个前端的控制台都中都被打印过这样一段话,告诉你:你的跨域请求策略拦截啦! 首先要明确的一点,CORS 的目的不是拦截请求,反倒是为了让其能正常请求。
83 天前 / Android开发
前言 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。 1、一些必要的基础知识 我们在加密的时候会用到一些加密或者编码方法。常见的有,非对称加密算法 RSA 等;对称加密算法 DES、3DES 和 AES 等;不可逆的加密 MD5、SHA256 等。 另外,我们会把重要的加密逻辑放到 Native 层来实现,所以一些 JNI 编程的方法也是需要的。不过,如果仅仅是用来作加密的话,对 C/C++ 的要求是没那么高的。对在 Android 中使用 JNI,可以参考我之前的文章《在 Android 中使用 JNI 的总结》。
85 天前 / gyreg
更新背景为什么更新本篇?“黎明将至”,本篇文章的封面真切的体现了笔者现在的真实心情。笔者在去年选择从发展如日中天的云安全,快速“切换赛道”来到了“广义办公安全”(混合办公),经过这段时间的落地和打磨,笔者觉得端、网、云协同办公时代已经悄然成为了今年的热门话题。多年安全厂商发布 SASE+ 终端安全 +“零信任”+ 云安全 + 云原生安全的产品和解决方案,详见《2021 年安全架构总结以及 2022 安全方向展望》六大预测的内容。
88 天前 / gyreg
写在前面的话 我也不是专业的自媒体作者,也不想通过写这些文字去谋求什么,就是把经历和想法记录下来,各位觉得好看就点个赞,觉得不好看就删除。 事件概述 Lapsus$ 应该是最近新出现的黑客组织。黑客组织于去年年底首次出现,但已经入侵了微软、英伟达、三星、OKTA 和育碧等知名企业。 Lapsus$ 还直接放出了英伟达和微软的部分代码,有新闻报道英国警方已经抓获了 7 名该组织成员。 伦敦市警方表示:“7 名年龄在 16 至 21 岁之间的人因涉嫌黑客组织活动而被捕。他们随后在调查中获释,但调查仍在进行中。
89 天前 / 小道安全
背景 目前 APP 发包上架的流程前,免不了需要对 APP 应用安全检测这个重要且必不可少的步骤流程,APP 应用安全检测大部分采用采购第三方的 APP 安全检测产品 ( 因为这块技术基础储备),也有部分企业基于开源的移动安全框架(MobSF)进行二次开发 APP 安全检测产品(采购第三方产品费用太高),也有部分安全团队基于团队的技术储备进行基于逆向第三方 APP 安全检测产品进行开发自研的 APP 安全检测产品(采购第三方检测产品)。
92 天前 / gyreg
供应链安全—组件漏洞和合规治理继上上周在公司内部做完 Azure DevSecOps 技术分享之后,突然发现组件漏洞的治理这一部分内容,对各大企业或厂商来说,业界有很多可圈可点的落地实践。当然,也有很多坑(甚至还无法解决),所以单独开一篇讨论企业内部的开源组件漏洞治理的话题,只谈论现象,不评价实际做法的对与错。于是就有了这篇文章。 一、组件及其与漏洞相关的几个概念组件在 IT 技术中是一个特别普通的名词,对于不同的人来说,有着不同的理解或含义。 对于产品和前场部门来说,组件更多的偏向于业务组件,是业务支撑工具中的一个组成部分。
103 天前 / sjf0115
关注快手大数据获取大数据资讯 导 读 本文主要介绍快手大数据统一安全平台。本文源自马玲玲老师在『快手大数据|数据中台技术交流会』上的演讲,相关视频回放可用快手 APP 搜索“快手大数据”观看。 本文会分四个部分展开介绍。首先,对相关的背景进行介绍,包括快手大数据安全解决的问题、比较经典的数据安全理论和快手大数据安全遇到的挑战;其次,会重点介绍我们的解决方案,包括具体的落地路径、平台的发展历程和架构;再次,会重点介绍我们平台的一些核心技术;最后,会介绍我们当前取得的进展和未来的规划。
111 天前 / gyreg
作者简介 -------------------------------------------------------- 李宗晖,现任某企业安全架构师,攻防团队负责人,专注实战化信息安全对抗。曾任某网络安全公司安全服务副总监,多次主导大型攻防演练。具备金融(保险)、通信、传统行业安全运营与建设经验。--------------------------------------------------------------------- 一、引言企业安全运营过程中的准确性、时效性是老生常谈的痛点难点。而这两点恰巧是衡量企业蓝军安全运营能力的重要指标。