安全架构评审实战

志刚(返町),现任美团安全部安全架构师。曾在国内外知名大型互联网公司出任安全专家、架构师等职。在应用系统安全架构评审以及安全方案设计和实施领域拥有丰富的经验。综述确定一个应用的安全状况,最直接的方法就是安全评审。安全评审可以帮我们发现应用系统中的安全漏洞,也能了解当前系统,乃至整个防护体系中的不足。

zip炸弹和跨目录zip文件的构造

前言 在对可上传 zip 文件的上传点进行测试时,除了一般的上传漏洞,我们也要关注其后台代码对 zip 文件解压后的大小和跨目录解压问题的检查。博主在本文中将介绍测试上述两种问题所用到的 zip 文件如何构造。 什么是 zip 炸弹 zip 炸弹就是一个高压缩比的 zip 文件,它本身可能只有几 M 或几十

token、加密、签名三者对比与区别

在之前的工作中,总是接触到这些概念,之前都是零散的理解,在此总结下,以方便以后查阅一、token 在网站、app 与服务器交互的过程中,很多时候为了:1、避免用户多次输入密码2、实现自动登陆3、避免在终端直接存储用户的密码4、标示客户端的请求是否合法5、其他(暂时没想到)我们需要引入 tok

AD组策略,禁止创建本地用户,防止用户脱域设置

一、简介 当公司所有主机加入到域后,SA 首要工作就是防止加入域的主机脱离域的控制。让我发现该工作的必要性是一程序猿,前一天刚配完禁止执行 QQ、微信执行,第二天就看到那家伙在用微信聊天,肯定是用回旧的本地账号登陆了。 本人所在公司安装软件的类型繁杂,无管理员权限运行不少软件会报错,不得不授予「域账号」本地

如何进行威胁建模?

一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。威胁建模是一个非常有用的工具,它的核心是「像攻击者一样思考」。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的

产品安全设计十大原则

原则 1:最小化攻击面:系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面进而达到控制系统整体风险的目的。打个比方说,某在线 web 应用向用户提供了一个通过搜索来获取帮助的功能,如果后端代码没有正确实现该功能就有可能导致存在 SQL 注入漏洞,但是即便如此,我们还是有办法降低或消

Google Chorm浏览器提示:"您的连接不是私密连接",解决办法

问题当我们有时候打开自己的搭建的服务时,尤其是Https服务时,可能遇到Google Chorm浏览器提示:“您的链接不是私密链接”,然后也没有直接打开网址的按钮。解决办法当页面提示:“您的连接不是私密连接”时,直接在当前页面上输入:thisisunsafe,手动敲键盘输入,当你输入完最后一个字母时,

XSS Challenges通关:Stage #12

一、XSS Challenges介绍靶场地址:http://xss-quiz.int21h.jp/相对于别的靶场来说,这是一个模拟真实环境的xss平台,页面不会给出任何提示。每关难度有所增加,需要不断精进自己的XSS攻击的能力。二、Stage #3题目三、思路上来就来个闭合标签,返回结果发现所

第 1 页 / 共 21 页 下一页