精华内容
下载资源
问答
  • 在看到关于synchronized用法的一个例子时,有些疑惑 ...Q2:运行时,电脑是多核的,用jvisualvm看线程,发现这两个线程始终在时间是错开的,无法并行运算,为什么?多核的也无法让多线程程序并行吗?
  • 业务安全逻辑问题

    2017-02-28 23:17:00
    第一篇是更新,第二篇一直也没有更新,在android app本身安全性了全面的了解后,觉得似乎没有什么必要来说这个?因为把网络通信这块儿刨开不看,app本身安全问题都比较鸡肋,利用前提是需要通过本地触发,也...

    业务安全逻辑问题

    年前说得是会更新两篇文章,一篇是《浏览器exp使用经验》,另一篇是《android app安全问题》。第一篇是有更新,第二篇一直也没有更新,在对android app本身安全性有了全面的了解后,觉得似乎没有什么必要来说这个?因为把网络通信这块儿刨开不看,app本身安全问题都比较鸡肋,利用前提是需要通过本地触发,也就是攻击者需要先在受害者手机上安装一个恶意的app,然后再通过这个恶意app去触发其他app的漏洞,可能只有像本地明文存储用户名密码这种漏洞才会对一般app厂商产生点存在感吧,其他情况,大家懂的。

    大多数的问题还是在网络通信这一块,和web安全一样,也会存在sql注入、xss、文件上传这种漏洞。当然webview组件的问题,也的确是可以远程触发的,其修复非常简单,更改一下api level就好了。

    所以个人觉得,除非是非常非常非常负责的app厂商,app本身所产生的安全问题,存在感都很低。加壳也是,除了工具类app,个人觉得也没啥必要,这点欢迎大家来讨论。

    最近半年参与公司对内对外的渗透项目比较多,从基本漏洞发现利用到内网渗透,整个流程也比较熟悉了。这一过程总发现有一类漏洞是比较特别的,那就是:逻辑漏洞。这类漏洞比较隐蔽,扫描器是发现不了的,需要手动仔细分析程序功能。而造成的危害一般也都比较大,直接影响公司业务,比如:越权造成用户财产损失、变更交易金额造成公司直接经济损失等。

    最近自己也在整理这一类问题,这里先给个框架,在理解更多的实例之后,再把脑图放出来。

    by:会飞的猫

    转载请注明:http://www.cnblogs.com/flycat-2016

    转载于:https://www.cnblogs.com/flycat-2016/p/6481592.html

    展开全文
  • 解读SaaS的8个安全问题

    千次阅读 2018-03-14 09:51:34
    SaaS的安全问题主要8个,下文会全方位解读。在此之前,先来聊聊报销管理软件,相信很多人其都还了解甚少。什么是报销管理软件?所谓报销管理软件,从名字就能很好的理解,这是用于报销管理的一种软件。 SaaS的...

      SaaS的安全问题主要有8个,下文会全方位解读。在此之前,先来聊聊报销管理软件,相信很多人对其都还了解甚少。什么是报销管理软件?所谓报销管理软件,从名字上就能很好的理解,这是用于报销管理的一种软件。

      SaaS的8个安全问题

      1、数据安全。在SaaS模式,企业数据存储在SaaS供应商的数据中心。因此,SaaS企业应采取措施保障数据安全,防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。SaaS的解决方案应该使用强大的密码保护,以确保在数据访问上的控制。所有数据,包括有管理权限的访问,都应该被记录下来,并定期审计。这些检查是至关重要的。

      2、数据分离。在一个多租户SaaS的部署中,多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄漏敏感的业务计划可能暴露竞争对手的弱点,因为这类数据可能会导致严重的经济损失。SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里,则应加强防范措施,以便通过一个应用程序的数据不能访问到其他应用程序。一个第三方SaaS的安全评估是至关重要的,隔离并查明这些数据的安全问题和解决这些问题之后,SaaS才可以更好地被应用。

      3、SaaS应用程序的安全部署。用户在选择SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而,这些部署应首先确保其安全性,采用托管SaaS的部署要求卖方提供相关服务(防火墙,入侵检测系统等)来强化其安全性。第三方的SaaS应用程序部署的安全审计也十分必要,这样可以更好地识别任何安全问题或威胁,以确保您的企业数据的安全。

      4、网络安全。在SaaS的部署模式中,企业和SaaS提供商之间的数据流在传输过程中必须得到保护,以防止敏感信息外泄。SaaS的供应商应使用诸如SSL确保数据在互联网上流动的安全性,或者在SaaS的部署网络中采取加密技术。其他保障措施还包括MITM攻击对网络安全造成的问题,IP欺骗,端口扫描,数据包嗅探等。

      5、法规遵从风险和法规遵从。在SaaS应用程序的审计中至关重要,通过对是否符合监管标准的评估,有助于确定是否合规问题,并确保正确的业务流程到位。

      6、可用性。SaaS的应用程序需要支持高可用性,以确保其能够24*7地为企业服务。这涉及到架构设计和基础设施的应用,以使他们能够适应硬件/软件故障以及拒绝服务攻击。此外,适当的业务连续性和灾后恢复计划也需要制订,以确保停机时间最短。

      7、备份。SaaS企业应确保服务水平协议涵盖安全的备份和恢复服务,在SaaS应用的备份需经过验证,基础设施和云级恢复服务的需要,以促进灾后恢复和减轻对敏感数据的丢失,由于失败的风险。备份的数据应该得到严格保护,如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的,它可以减少未经授权的访问和敏感数据泄漏的风险。

      8、身份管理和登录。安全身份管理(IDM)和签署组件可以为用户提供服务的帐户处理、密码管理和安全认证。并且可以根据安全方面的挑战不同对身份管理也进行区别对待。一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下,用户的信息、密码等,都保留在SaaS供应商的网站,因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性和企业密码过期政策,并遵守监管要求。

      看过上文,大家也了解SaaS的8个安全问题了。至于报销管理软件,上面的文章也进行了简单的介绍,总之还是请大家多多留意,因为会对你有所帮助的。

    展开全文
  • SaaS的安全问题主要8个,下文会全方位解读。在此之前,先来聊聊报销管理软件,相信很多人其都还了解甚少。什么是报销管理软件?所谓报销管理软件,从名字就能很好的理解,这是用于报销管理的一种软件。 SaaS的...

    SaaS的安全问题主要有8个,下文会全方位解读。在此之前,先来聊聊报销管理软件,相信很多人对其都还了解甚少。什么是报销管理软件?所谓报销管理软件,从名字上就能很好的理解,这是用于报销管理的一种软件。

      SaaS的8个安全问题

      1、数据安全。在SaaS模式,企业数据存储在SaaS供应商的数据中心。因此,SaaS企业应采取措施保障数据安全,防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。SaaS的解决方案应该使用强大的密码保护,以确保在数据访问上的控制。所有数据,包括有管理权限的访问,都应该被记录下来,并定期审计。这些检查是至关重要的。

      2、数据分离。在一个多租户SaaS的部署中,多个企业的数据可能会保存在相同的数据存储位置。因此要保证其中一个用户在进行数据访问时不能访问到其他用户。泄漏敏感的业务计划可能暴露竞争对手的弱点,因为这类数据可能会导致严重的经济损失。SaaS的应用体系结构和数据模型的设计应确保正确的数据隔离。如果SaaS的应用程序部署在一个公开的云供应商那里,则应加强防范措施,以便通过一个应用程序的数据不能访问到其他应用程序。一个第三方SaaS的安全评估是至关重要的,隔离并查明这些数据的安全问题和解决这些问题之后,SaaS才可以更好地被应用。

      3、SaaS应用程序的安全部署。用户在选择SaaS供应商的解决方案后可以部署使用公共云供应商或SaaS供应商的私有云。然而,这些部署应首先确保其安全性,采用托管SaaS的部署要求卖方提供相关服务(防火墙,入侵检测系统等)来强化其安全性。第三方的SaaS应用程序部署的安全审计也十分必要,这样可以更好地识别任何安全问题或威胁,以确保您的企业数据的安全。

      4、网络安全。在SaaS的部署模式中,企业和SaaS提供商之间的数据流在传输过程中必须得到保护,以防止敏感信息外泄。SaaS的供应商应使用诸如SSL确保数据在互联网上流动的安全性,或者在SaaS的部署网络中采取加密技术。其他保障措施还包括MITM攻击对网络安全造成的问题,IP欺骗,端口扫描,数据包嗅探等。

      5、法规遵从风险和法规遵从。在SaaS应用程序的审计中至关重要,通过对是否符合监管标准的评估,有助于确定是否合规问题,并确保正确的业务流程到位。

      6、可用性。SaaS的应用程序需要支持高可用性,以确保其能够24*7地为企业服务。这涉及到架构设计和基础设施的应用,以使他们能够适应硬件/软件故障以及拒绝服务攻击。此外,适当的业务连续性和灾后恢复计划也需要制订,以确保停机时间最短。

      7、备份。SaaS企业应确保服务水平协议涵盖安全的备份和恢复服务,在SaaS应用的备份需经过验证,基础设施和云级恢复服务的需要,以促进灾后恢复和减轻对敏感数据的丢失,由于失败的风险。备份的数据应该得到严格保护,如业务数据等就需要使用强大的加密机制。这些检查也是非常必要的,它可以减少未经授权的访问和敏感数据泄漏的风险。

      8、身份管理和登录。安全身份管理(IDM)和签署组件可以为用户提供服务的帐户处理、密码管理和安全认证。并且可以根据安全方面的挑战不同对身份管理也进行区别对待。一个SaaS供应商可以提供完整的IDM和登录服务。在这种情况下,用户的信息、密码等,都保留在SaaS供应商的网站,因此应该安全地存储和处理。SaaS供应商应该能够保障密码的安全性和企业密码过期政策,并遵守监管要求。

      看过上文,大家也了解SaaS的8个安全问题了。至于报销管理软件,上面的文章也进行了简单的介绍,总之还是请大家多多留意,因为会对你有所帮助的。


    出处:https://www.huilianyi.com/news/1502.html

    展开全文
  • StackStorm是一个跨服务和工具进行集成和自动... 有什么问题吗查看 或加入我们的 StackStorm概述 关于 StackStorm是跨服务和工具进行集成和自动化的平台。 它将您现有的基础架构和应用程序环境联系在一起,因此您可以
  • 初生牛犊不怕虎,那个时候自己仗着自己javaSE的基础,就想自己整个好的项目当作自己大学四年的一个圆满的答卷,但是现实告诉我什么是人生.当初自己也是消息闭塞,外面实际工作中所用的东西不了解,觉得个javaSE.....

           大四做毕设的时候,那时候还是个萌新,好多技术都不了解,想想那个时候真的是天真无邪的三好青年,没有采用老师给好的毕设思路,自己依照毕设题目想象功能去实现,现在想想都是泪啊大哭.初生牛犊不怕虎,那个时候自己仗着自己有javaSE的基础,就想自己整个好的项目当作自己对大学四年的一个圆满的答卷,但是现实告诉我什么是人生.当初自己也是消息闭塞,对外面实际工作中所用的东西不了解,觉得有个javaSE的基础走个校招差不多了,没想到的是工作用的全是框架,只能说javaSE是最基本的东西,全当当初了解java,锻炼思维.那会面试动不动就问三大框架你了解几个,那会感觉学习java的苦逼生活可能才起步.

            言归正传,那会刚开始写程序弄了一个传统的MVC结构,弄的是基础webServlet,那会连ssh框架都没用,写到一半,发现了一个很严重的问题,边学边写感觉时间上不够了,自己想的功能太坑爹了.于是就想大神要了一套程序,自己改写一些,套用一下,那套程序当时看来相当牛逼,用的大部分知识我都不知道,maven管理控制的程序和我自己的土鸡程序,是两套程序,根本没把法结合在一起,于是乎,只能启用两个tomcat服务器,改了一下端口号.但是两个程序之间的传值怎么办???真想说一句在线等,急!!!

            自己想通过在一个项目上登入,在跳转到另一个项目的时候,实现另一个项目已登入功能,自己不用再次登入.在网上搜索了差不多一个白天也没搜到自己想要的东西,比如设置Cookie中的 setDomain()、setPath() 值,但是问题是setDomain()是在相同域名下才有用,我这个没有域名啊,自己本机上访问,测试了一会发现弄不了,还是没反应.还有让改tomcat配置的,弄个功能都这么高深了,看来没看懂,也不敢瞎用,万一崩了就要麻烦死了.还有一个iframe标签,没接触过,前端的东西,看来感觉很麻烦,也不符合我java编码的一贯思维.

            最后自己灵感一下,发现自己太笨了,这个问题以后怕是再也不会用到了,现在谁不是整合在一起,用mave进行控制,哪有我这种情况.自己直接拼接在地址栏上了,让路径带着去另一个服务器了,自己在页面上取一下就得到数据了,虽然没有什么安全性,但是这个问题没有纠结的必要性.

            java代码实现:

                try {

    Cookie cookies[] = hreq.getCookies();  // 获取请求中的所有cookie
    String[] strs=null;
    if (cookies!=null)  
    {  
        for(int i=0;i<cookies.length;i++)  // 遍历
        {  
            Cookie cookie = cookies[i];  
            if ("user".equals(cookie.getName())){
            String value = cookie.getValue();// 用找的cookie去做你需要它做的事
            strs = value.split("#");
            String path="http://localhost:9003/自己的项目名?name="+strs[0];
    hresp.sendRedirect(path);
            }   
               
        }  
        
    }else{
    return "jsp/login.jsp";

    }

            js代码实现:

                    <h1>欢迎 ${ param.name  }!</h1>

    有没有大牛有更好的解决办法,跪求!!!

    展开全文
  • 我们不仅我们的项目声明的依赖项感兴趣,而且可传递的依赖项(实际,可传递的依赖关系是这里的主要攻击媒介)感到迷惑; Gradle项目(尤其是多模块通过 API或管理依赖项是很常见的。 在这两种情况下,诸如...
  • 不同牌子的换IP软件,商家提供的产品和服务类似,一提及代理IP软件,很多人想到的是“有无病毒”“安不安全”等问题,总以为使用代理伪装自己的IP地址是为了干坏事,实际这是代理IP软件的误区。一个靠谱专业的IP...
  • 要经常对安全保卫工作调查了解,定期不定期地召开专门会议,深入分析当前的社会治安形势,认真学习相关的制度和法律法规,认真查找本单位在安全保卫工作中存在的问题。对员工开展经常性的安全教育,加大监督检查和...
  • 应用程序架构安全

    2021-01-30 06:48:54
    从编程的圈子跳出来,了解从较高的应用程序架构级别处理安全性的新方法。跑在安全违规行为的前面,帮助确保您企业的高度安全性。大部分软件安全性的讨论都集中在应用程序本身或其中包含的数据。例如,大家经常讨论...
  • 寒假安全演说稿.doc

    2021-01-18 19:37:16
    那么你寒假安全话题要说些什么内容兴趣吗?以下是小编为你整理推荐寒假安全演说稿,希望你喜欢。寒假安全演说稿 篇【1】 春节即来,为了使全校师生过一个平安、快乐、文明、祥和、健康、有益的寒假和春节,所以...
  • 您的家庭网络上有什么?您的家庭网络通常是一个测试环境。您如何使用它来表明您将如何使用他人的网络。威胁,漏洞和风险之间有什么区别?回答这个问题需要网络安全有深入的了解,并且在该领域工作的任何人都应该...
  • 网络安全基础要点知识介绍

    千次阅读 2019-03-02 10:55:31
    在介绍客户端与服务端的传输数据加密之前,先介绍下网络安全相关的知识,主要是为了更好的了解什么传输数据加密以及为什么要采用这种加密算法。 网络安全 网络安全问题概述 计算机网络的通信面临两大类威胁...
  • 但与任何新趋势一样,仍一些问题需要解决,对于那些刚刚开启物联网设备实践应用的人来说,继续阅读以下内容助于了解更多物联网安全问题以及应对策略。固有的安全风险是什么?那么多的公司参与物联网技术研发,...
  • 其实很多朋友对于防爆胎并不是非常了解,其实防爆胎的学名叫做“缺气保用轮胎”,所以防爆胎并不是不会爆,而是在缺失气压的情况下不出现重心偏移、侧翻等问题,并可以继续行驶一段距离。这样一来,可以大大提升驾乘...
  • 作为化工生产安全方面的例子想必大家都有所了解,比如说世纪的洛杉矶光化学污染事件,被写入世界“八大公害事件”之一,为此洛杉矶市光化学污染事件付出了一个漫长惨重历史代价,这就是一个惨重的经验教训,这...
  • 作为化工生产安全方面的例子想必大家都有所了解,比如说世纪的洛杉矶光化学污染事件,被写入世界“八大公害事件”之一,为此洛杉矶市光化学污染事件付出了一个漫长惨重历史代价,这就是一个惨重的经验教训,这...
  • 在校大学生,刚学习操作系统,在github上面参考了银行家算法的代码,两个问题不是很了解,问题的出现都是在进程的安全性判断. 问题: 1.为什么要在申请一个进程的时候做一遍安全性检查?不能进程申请完了再做安全...
  • 通过上面这两个问题,基本可以测试出你工程管理专业多少了解,事实,这是一个跟绝大多数人认知很大的差异领域,也是少数几个能够让学生以应届生身份,进入高大上的咨询公司的专业。一、工程管理究竟是什么...
  • 很奇怪,到底是我的安全边际设定的误,还是其它什么问题?我的疑问是:假如技术图形它破位了,进入您设的安全边际,您会买入吗?假如跌幅离您设的安全边际超过20%,您也选择坚守吗?我这次的失败,是因为我它...
  • 篇文章我们已经聊了线程安全,大概了解线程安全产生影响的重要因素是什么,我们还聊到了多线程的消息传递方式和内存交互方式,正因为这种交互方式使得共享变量在多线程之前存在可见性问题,除此之外还有处理器...
  • 随着人们网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面了质的飞跃,提升了访问者网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失。...
  • 什么验证码这么烦人的东西?直接手动输入用户名和密码进行登录不就好了?像12306的验证码,可以说是国内站点识别难度第一NB的验证码了。。。 验证码可以有效防止这种问题对某一个特定注册用户用特定程序...
  • 这是一段php 文件上传黑名单限制 出现看没什么问题包含函数运用错误以及php 各种类型解析也不了解 1第一个问题 拿上传的后缀名 去和黑名单 对比 这种代码首先逻辑就要明确 不是拿后缀名和黑名单数组...
  • 什么是OCSP Stapling

    2020-11-20 15:05:14
    随着人们网络安全意识的增强,越来越多的网站已实现了HTTPS加密,在安全性方面了质的飞跃,提升了访问者网站的信赖,但是当客户端访问OCSP服务器延时较高时,打开链接的速度相对较慢又会让访客流失。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 571
精华内容 228
关键字:

对安全问题上有什么了解