2 天前 / gyreg
简介 Google 如何帮助保护客户数据 应急响应 团队架构 应急响应流程 识别 协调 处置 完成 持续改进 总结 参考资料 简介 为客户数据维护安全的环境是 Google Cloud 的首要任务。Google 通过一个业界领先的信息安全操作体系来保护客户数据,该操作体系将严格的流程、世界一流的团队以及多层信息安全和隐私基础架构进行了有机结合。本文重点介绍 Google 管理和响应的原则性方法。 在 Google 的整个安全和隐私计划中,应急事件响应是一个重要方面。谷歌制定了严格的应急响应管理流程。
3 天前 / xF0rk
在 Kubernetes 中,Secret 显得尤其重要。因为它是 K8s 中存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key 以及其他用户自定义的敏感文件等。因此,一旦 K8s 中 Secret 出现安全问题,后果将非常严重。此外,虽然社区提供了一定的安全防护方案,但是依然存在诸多问题。 K8s Secret 面临着哪些安全问题?这些安全问题会带来什么影响?社区提供的解决方案存在哪些不足?......针对这些问题,InfoQ 记者采访了蚂蚁集团高级工程师秦凯伦,他专注于可信计算、系统安全和虚拟化等领域...
4 天前 / 箜道
点击上方蓝字关注我 背景 手游客户端的发展往往会吸引一批想从游戏中获利以及爱好逆向分析研究员的关注,因此手游的安全攻守之道就产生了。那么这些威胁对象的存在,给手游客户端的安全带来很大程度上的影响,所带来影响的结果就是:游戏中出现各种外挂脚本,游戏客户端破解版,打金工作室泛滥等等各种作弊行为的出现,最终导致手游客户端的平衡性被破坏,玩家流失,最终导致手游收入的降低。 接下来我们分析威胁手游客户端安全的对象有哪些??? 运行环境的威胁 模拟器 主流模拟器:夜神模拟器,雷电模拟器,mumu 模拟器,逍遥模拟器,蓝叠模拟器...
6 天前 / 码路印记
并发场景下多个进程或线程共享资源的读写,需要保证对资源的访问互斥。在单机系统中,我们可以使用 Java 并发包中的 API、synchronized 关键字等方式来解决;但是在分布式系统下,这些方式不再适用,我们需要自己实现分布式锁。 常见的分布式锁的实现方案有:基于数据库、基于 Redis、基于 Zookeeper 等。作为 Redis 专题的一部分,本文将基于 Redis 聊一聊分布式锁的实现方案。 分析与实现问题分析分布式锁与 JVM 内置的锁有着共同的目的:让应用程序以预期的顺序访问或操作共享的资源,防止多个线程同时对同一资源操作,导致系统运行紊乱、不可控。
6 天前 / M1
PostsAWSdynamodb-aciddynamodb-adminS3-logDBHow to Use MySQL countmicronautmn-graalvmSoftware Design and EngineeringClean CodeMeaningful NamesToolsmac-itsycalmac-statsmac-world-timeowasp-1-broken-authenticationowasp-1-sql-injectionPostgres 12 + pgadmin in DockerShubo ZhangApril 9, 2021 OWASP 十大网站安全风险 (二):无效身份认证OWASP 十大信息安全主题注入攻击 (Injection)无效身份认证(Broken Authentication)敏感信息泄漏(Sensitive Data Exposure)XML外部处理器漏洞(XML External Entities (XXE))无效存取控管(Brok...
7 天前 / gyreg
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作! 欢迎各位添加微信号:asj-jacky 加入安世加 交流群 和大佬们一起交流安全技术 一、重申以业务为中心的安全目标 安全架构设计人员首先要了解银行业务,尽管银行业务不断推陈出新,但基本的业务流程变化不大,比如我们从客户旅程的角度针对零售类业务总结了以下流程: 如上图所示,其中交易包括存款类、贷款类、汇款类和中间业务类等交易...
9 天前 / M1
PostsAWSdynamodb-aciddynamodb-adminS3-logDBHow to Use MySQL countmicronautmn-graalvmSoftware Design and EngineeringClean CodeMeaningful NamesToolsmac-itsycalmac-statsmac-world-timeowasp-1-sql-injectionPostgres 12 + pgadmin in DockerShubo ZhangApril 7, 2021 OWASP 十大网站安全风险 (一): 注入攻击OWASP是 open web application security project 的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
10 天前 / gyreg
深入剖析新型 MacOS 恶意软件 XcodeSpy 匿名者17 天前摘要攻击者正在利用苹果公司的 Xcode IDE 中的“Run script(运行脚本)”功能,通过共享的 Xcode 项目感染不知情的 Apple 开发人员。XcodeSpy 是一个恶意的 Xcode 项目,它会在开发人员的 macOS 电脑上植入 EggShell 后门的定制变种,从而实现了持久性的控制。这个后门软件不仅具有记录受害者的麦克风、摄像头和键盘的功能,同时,它还实现了上传和下载文件的功能。XcodeSpy 的感染方式,有可能被其他攻击者所利用,因此,我们建议所有使用 Xcode 的苹果开发者在采用共享的 Xcode 项目时要谨慎行事。
10 天前 / 开发者头条
大家好,我是周刊菌。 牛年行牛运!加入「码农周刊 VIP 会员」,一起牛起来! 以下内容选自「码农周刊 VIP 会员」圈子,每日更新,精彩不断。码农周刊是什么?码农周刊是一份专为广大程序员、编程爱好者们打造的 IT 技术周刊。每周发送。 2013 年 9 月 12 日创刊至今,已发送 300 多期,订阅用户超 20 万。 专业、简单、有用,是我们一直坚持的办刊宗旨。一路走来,我们见证了不少订阅用户从编程新手进阶成了高级程序员、架构师、CTO…… 2020 年 4 月,为了给用户提供更优质的服务,我们推出了「码农周刊 VIP 会员」服务。
17 天前 / 姬野
Android 和 iPhone等设备上我们使用了大量的 app,但我们不可能检查我们使用的每一个第三方应用程序的每一行。在这种情况下,我们使用了 MobSF 移动安全框架:一款使用 Python3、针对Android、iOS 和 Windows 的移动应用程序安全分析框架。 移动安全框架 (MobSF)是一个自动化的、一体化的移动应用程序 (Android/iOS/Windows)笔测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件 (APK、 XAPK、 IPA & APPX)以及压缩源代码,并提供 REST api 与 CI/CD 或 DevSecOps 管道进行无缝集成。
23 天前 / xF0rk
//文丨李瑞 笔者具备多年攻防测试、代码安全经验,目前在美团负责基础设施服务在认证、加密、鉴权等领域的安全建设。 1、写在前面 1.1 什么是威胁建模? 孙子兵法:知彼知己,百战不殆;不知彼知己,一胜一负,不知彼不知己,每战必殆。 微软:威胁建模实践使开发团队可以在背景下以结构化的方式思考、记录并讨论系统设计的安全影响。威胁建模是帮助保护系统、应用程序、网络和服务的工程技术,用于识别潜在的威胁和建议,以帮助降低风险并在开发生命周期的早期实现安全目标。
27 天前 / 箜道
点击上方蓝字关注小道安全 技术背景 作为程序开发人员,我们害怕,听到开发的代码,被测试出 bug;我们更害怕,听到我们所开发出来的产品上线了,被新手安全研究员给反汇编逆向破解,代码功能直接被人给盗取了。下面根据我自己的一些项目经验,跟大家分享两点如何能开发出相对安全的代码。以下方案不局限于任何语言代码开发,是一个相对通用的安全编码方案。 字符串的安全方案 直接使用字符串 不建议使用理由:直接定义使用字符串,因为字符串是一个常量,所以我们直接能在静态反汇编中直接看到字符串的数据信息。
29 天前 / Geekwolf
3 月 10 日欧洲最大云计算厂商 OVH 位于斯特拉斯堡的数据中心,发生历史上史无前例的灾难性事件,整个数据中心被大伙烧毁。3 月 11 日至今仍在努力恢复中。影响包括火爆全球的视频游戏制作公司 Rust、Deribit、英法波政府平台等在内的 360 万个网站。在云迅猛发展的今天,我们该如何应对不确定性带来的业务不可持续和数据安全灾难呢? 01 OVHCloud 火灾事回顾 3 月 10 日 周三深夜,OVHcloud 位于斯特拉斯堡的 SBG2 数据中心被大伙烧毁,同时 SBG1 数据中心也部分受损,SBG3 和 SBG4 数据中心因受消防保护,被迫停服。360 万个站点处于离线状态。
34 天前 / 马壮
本文从代码审查过程中发现的一个 ArrayList 相关的「线程安全」问题出发,来剖析和理解线程安全。 案例分析前两天在代码 Review 的过程中,看到有小伙伴用了类似以下的写法: List resultList = new ArrayList(); paramList.parallelStream().forEach(v -> { String value = doSomething(v); resultList.add(value); }); 印象中 ArrayList 是线程不安全的,而这里会多线程改写同一个 ArrayList 对象,感觉这样的写法会有问题,于是看了下 ArrayList 的实现来确认问题,同时复习下相关知识。
43 天前 / xF0rk
文|腾讯蓝军 neargle、pk 1. 背景 2020 年年末的时候,我们于 CIS2020 上分享了议题《Attack in a Service Mesh》讲述我们在近一年红蓝对抗演练中所遇到的云原生企业架构以及我们在服务网格攻防场景沉淀下来的一些方法论。 回顾近几年腾讯蓝军在云原生安全上的探索和沉淀,我们在 2018 年的时候开始正式投入对 Serverless 和容器编排技术在攻防场景的预研,并把相关的沉淀服务于多个腾讯基础设施和产品之上,而在近期内外部的红蓝对抗演练中腾讯蓝军也多次依靠在云原生场景上的漏洞挖掘和漏洞利用...