精华内容
下载资源
问答
  • web安全培训

    千次阅读 2013-07-23 09:28:10
    WEB安全培训 网络已经全面融入到我们的工作和生活中, 带来的巨大的变革,但同时也是一把双刃剑, 在带给我们便利的同时也存在巨大的威胁。 WEB系统面临各方面的风险  1、WEB应用软件,如apache,tomcat,linux,...
    WEB安全培训

    网络已经全面融入到我们的工作和生活中,
    带来的巨大的变革,但同时也是一把双刃剑,
    在带给我们便利的同时也存在巨大的威胁。

    WEB系统面临各方面的风险
      1、WEB应用软件,如apache,tomcat,linux,windows系统本身拥有的一些系统缺陷或者所存在的其他问题等。




      2、应用层面, 所写的WEB程序,本身拥有的漏洞
         如:sql注入攻击
             跨站脚本
             表单漏洞
             文件上传漏洞
             恶意代码
             所使用的框架漏洞等。
      3、网络层面:    arp,dos,ddos攻击,协议缺陷等




      4、业务层面,业务实现,或者工具本身拥有的逻辑让别人进行攻击等。
     
     



    简单介绍各种攻击:
       arp:内网中攻击,无法再外网攻击。
       arp协议:把Ip地址转换成mac地址。
       通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞
       导致网速越来越慢甚至断网,盗取账号密码等。
     DOS攻击:不断的请求目标主机,利用大量的数据量让目标主机无法为其他用户提供正常的服务,甚至让目标主机瘫痪。
            防范比较简单:攻击者比较少,把这类用户屏蔽掉即可
            程序可以做到,也可以够买相应功能的硬件,或者安装相应功能的软件。
     DDOS攻击:利用世界各地的被黑客虏获的电脑对目标进行发起攻击,使目标主机无法正常提供服务。
     


     
     SQL脚本注入:
        一般情况下都发生在服务器端,为什么这样讲?
        把注入串通过表单提交或者参数,或者程序的方式提交,执行相应的sql操作。
        设计良好的程序当然不会存在这种问题,它只会把用户提交的数据当成相应的字符来处理
        而设计不好的程序就可能把用户提交的拼装成sql之后进行执行。
        数据库连接中使用了权限过大的账号。
        
        危害:修改数据,删除数据表,查询数据,执行其他相应数据库带有的功能等。
     文件木马:
        绕过检验,提交木马的文件
        对上传文件的目录去除可执行权限的设置



     跨站式脚本攻击xss
        没有校验内容,或者没有对内容的显示做处理,导致cookie被盗用等问题。
        内容弹窗等各种方式让用户泄露信息等。HttpOnly(通知浏览器js无法读取此cookie)
            js可以在很多地方执行,因此也扩大了xss问题的发生范围,防不胜防有时候。
            js是xss跨站攻击的灵魂,只要出现了xss漏洞,通过Js能模拟任何用户想做的操作。
            document.cookie即可读取网站的cookie。


    跨站请求伪造:SCRF
        请求了恶意站点,恶心站点帮用户发起了非想发起的请求,但目标站点认为用户已经登录,是用户在进行的操作,所以会执行。
    XSS,SCRF区别在于, XSS是目标站点有注入代码, 而SCRF是用户访问了恶意网站有恶意代码。




    (XSIO) :跨站图像叠加
        类似XSS也是执行恶心HTML代码,重置网页元素位置,设置相应链接功能等,让用户点击(因为用户以为这是他想访问的东西),类似钓鱼。
        


    解决:不信任浏览器,但和用户交互就非常困难,最好解决方法是尽量避免会发生这些漏洞,做好安全测试。

    安全期望做到的目标。
    1、能够对密码试探工具进行防范;
    2、能够防范对cookie攻击等常用攻击手段;
    3、敏感数据保证不用明文传输;
    4、能防范通过文件名猜测和查看HTML文件内容获取重要信息;
    5、能保证在网站受到攻击后在给定时间内恢复。




    常用的安全意识
    定期备份和检查相关访问和应用日志,数据库等;
    及时对计算机操作系统和应用程序“打补丁”;
    安装防火墙和杀毒软件,并及时更新特征库;
    关闭不必要的端口和服务
    设置复杂的用户密码
    文件目录权限最小化,一般规则:有写入权限的目录,不能有执行权限,有执行权限的目录,不能有写入权限



    其他口令口接,木马,监听程序等,无一不存在安全方面的问题。



    iframe:通常黑客也可以在攻入网站之后,嵌入相应的带问题的网页,引导用户点击,实施钓鱼。
    对于网页,如果iframe页面和父页是同域名的,那么它们之间就可以通过Js相互操作,如果是不同的
    就只有Iframe页面可以对父页面的location进行写,不能读,读的话就会泄露数据,能写的话就能使
    网页进行重定向。


    ajax的跨域访问,对于ajax有一种机制是可以跨域访问比的域名的, 至于访问后能不能正常交流,那得看
    目标域名的返回,如目标域名回应的Header里这样设置:header("Access-Control-Allow-Origin: 源域名");
    表示允许源域名进行访问,这样的攻击,目标域名可以获取源域名的隐私信息等,即便是不那样设置,源
    渔民发起了请求,目标域名还是能获取请求里的信息。各种场景各自想象。即是目标域名能获取源域名信息,又
    是目标域名可以返回信息给源域名做一些事情等。



    cookie:服务端能设置,客户端也能设置, 这通常是黑客感兴趣的一个点,盗取了cookie能做很多有意思的事情。
    cookie的domain域名机制允许设置父域名可以访问,但是不可以设置下一级子域。这机制可以实现多个字域名共享
    想共享的cookie了。

    cookie path:指定path下的js才可以读取下面的cookie,其他path的js无法读取,当然父是可以读取子的,当然
    即便其它path下的js无法读取,但还是可以通过iframe的方式访问其它页面来读取其它页面的Js,所有path无法
    防止目标路径下的cookie被盗取。

    httponly有时候因为服务端的问题也会暴露有Httponly的cookie,比如apache2.2.X版本报400错误就会暴露这样的
    cookie,解决方式可以升级apache,也可以设置相应的返回数据。

    要知道设置了secure的cookie只是在传输中是加密了而已,在本地js还是能修改这些cookie.

    很多钓鱼类的网站除了Js也得css的配合,美化,让用户根本觉察不出。

    XSF:跨站flash,攻击者可以利用这个功能访问恶意flash,形成攻击。


    *在后台重要计算的数据切记不能放在前台计算传输运算。
    展开全文
  • 更新时间: 2019-7-1 22:52:56随时更新! 欢迎各个公众号、网站转载本清单——标明出处就好...—— 请下载http://www.youxia.org/PostList.xls表单(注意大小),填写后邮件到zbc@youxia.org注明“产品大全信息提...

    https://mp.weixin.qq.com/s/kg4pYUXDrGJpeJrzkksorQ

    更新时间: 2019-7-1 22:52:56   随时更新! 
    欢迎各个公众号、网站转载本清单——标明出处就好。

    您公司不在名单?—— 请下载 http://www.youxia.org/PostList.xls 表单(注意大小写),填写后邮件到 zbc@youxia.org 注明“产品大全信息提交”即可,感谢支持!(不支持微信发送,仅支持邮件方式)。

    www.youxia.org 是支持“免费投稿”的,在网站右侧可以直接注册,欢迎投递原创的技术稿件。

    同步更新网址
    游侠安全网:http://www.youxia.org/2014/02/11284.html
    信息安全官:http://www.cnciso.com/bbs/thread-948-1-1.html

    增加了一个新功能:在“游侠安全网”的微信公众号 youxia-org 中回复“大全”、“厂家大全”、“产品大全”均可获取本清单!

    重申

    • 别说:为什么我们公司不是排第一个?——我问你,那么多公司,让谁做第一?让谁做最后一个?能说服我的话,把你们放到第一个没问题!排名不分先后——排第一个的可能是最烂的,排最后一个的也可能是最好的。

    • 别问我为什么没有你公司——你们公司注册的时候通知过我吗?你们发布产品的时候通知过我吗?—— 没有,就别一副欠了你钱上来讨债的样子!我尽量做全,但并不能保证全部。

    • 产品你必须得有!至少官网得有这个产品,或者至少在该公司的微信公众号等地方推送过!有的公司本来没这个产品,为了追求曝光率、在这里多出现几次,说什么都有——我感觉人、公司,还是应该有点诚信,是吧?

    • 非自主研发,而是贴牌、OEM的就算了!现在这个名单只是为了“全”,过一段会把贴牌、OEM的去掉,原创的得支持,贴牌的从商务上来说没问题,但我这个名单还是希望都鼓励原创。

    • 有人问:我们赞助的话,可以标红、加粗、排第一、斜体字……之类的么?—— 实在抱歉,站长还没有收费的打算。对,给钱也没有这个打算。


    我的一些想法:

    • 有常见的安全产品

    • 有常见的安全厂家

    • 有些一家独大的分类就不加入了,如某个产品只有1家在做,或很少的厂家在做,那么抱歉


    目标:

    我们希望纳入足够多的产品分类和厂家,至少名气大的、名气中等的,以及“小荷才露尖尖角”的厂家,都尽量能有露脸的机会。更希望能给新入行的朋友、准备采购产品的朋友,一个可供参考的文档。

    1、中国网络安全产品与厂商大全

    物理安全

    • 存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾、中安兴坤


    网络安全

    • 防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云

    • 网络入侵检测NIDS/网络入侵防御NIPS:启明星辰、绿盟科技、网御星云、奇安信、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全、安数云、上元信安、成都世纪顶点、网御科技、中睿天下、华诺科技、盛邦安全(WebRay)、六方云

    • 无线入侵检测/防御:奇安信、北京锐云通信、山东闻道通信、雨人网安、四维创智、锐捷、启明星辰

    • VPN:深信服、天融信、蓝盾、奇安信、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信、华域数安、中宇万通、惠尔顿、启博网络、成都世纪顶点、网御科技、冰峰网络

    • 上网行为管理:奇安信、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技、瑞星、华域数安、惠尔顿、启博网络、上元信安、网博科技、网御科技、锐捷、华诺科技、众人科技、冰峰网络、启明星辰

    • 网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、奇安信、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多、网博科技、华域数安、思维世纪、exands兴容信息、天懋信息、锐捷、东软、众人科技

    • 网络流量控制:奇安信、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络、华诺科技、冰峰网络

    • 网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络、迪思数据、中新网安、金睛云华、中睿天下、清华永新、聚铭网络、安态科技、安恒信息、启明星辰

    • 防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、奇安信、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技

    • APT未知威胁发现:安恒信息、科来公司、奇安信、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安、盛邦安全(WebRay)、中新网安、中科锐眼、金睛云华、兴华永恒、中科慧创、中睿天下、中国网安、安态科技、永信至诚

    • 抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、上海纽盾、任子行、青松云安全、天融信、奇安信、北大千方、知道创宇、神荼科技、网堤安全、盛邦安全(WebRay)

    • 抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、知道创宇、奇安信、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、蓝盾、网堤安全、浙江乾冠、唯一网络、有云信息、缔盟云、京东云

    • 网闸:奇安信、北京安盟、利谱、启明星辰、杭州合众、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思、中新网安、蓝盾、网御星云

    • 安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、哈尔滨朗威、利谱、北京远为软件、奇安信、瑞达信息、天行网安、伟思、东软

    • 网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华

    • 网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod、浙江乾冠、京东云、

    • 网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件、瑞星、福建伊时代、奇安信、通软公司、上海宁盾、H3C、易泰通(捍卫者)

    • 负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代、信诺瑞得、太一星辰、山石网科、冰峰网络

    • 应用交付:深信服、信安世纪、瑞友天翼、奇安信、天融信、东软、任子行、优炫、中科曙光、弘积科技、信诺瑞得、启明星辰

    • 加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪、奕锐电子、数盾科技

    • DNS安全:电信云堤、厦门帝恩思、知道创宇、网堤安全、唯一网络、迪讯信息、冰川网络

    • 不良信息识别与监测:金惠科技

    • DDI(DNS/DHCP/IP地址管理):迪讯、亚信安全


    主机安全

    • 桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、奇安信、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、通软公司、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠、瑞星、敏捷科技、盈高科技、中天航信、易泰通(捍卫者)、中科慧创、安在软件、艾科网信

    • 单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件、中科慧创、深信达

    • 网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件、中科慧创、深信达、慧盾网络

    • 主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、敏捷科技、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代、奕锐电子、龙脉科技、臻至科技(LOCKet)、世平信息、福建伊时代、海泰方圆、无锡华御、七洲科技

    • 源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安、深信达

    • 主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、悬镜AI、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息、中科慧创、易泰通(捍卫者)、七洲科技

    • 终端登录/身份认证:北京天桥、上海格尔、吉大正元、卫士通、信安世纪、上讯信息、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威、时代亿信、山东确信、中软、易泰通(捍卫者)

    • 移动存储介质管理:北京天桥、北信源、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件、瑞星、中软、易泰通(捍卫者)、通软公司、能信安(能士)、安在软件、七洲科技

    • 补丁管理:北信源、奇安信、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山、瑞星、中软、榕基软件、通软公司

    • 打印安全/打印管理/打印审计:北京天桥、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞、瑞星、敏捷科技、中软、通软公司、福建伊时代、航天十二院

    • 刻录审计:北京天桥、北信源、鼎盾科技、安普瑞、


    应用安全

    • 网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、盛邦安全(WebRay)、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安、浙江乾冠、三零卫士、有云信息、卫达安全、锐捷、深信达

    • Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、盛邦安全(WebRay)、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、奇安信、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技、长亭科技、华清信安、信诺瑞得、雨人网安、能信安(能士)、有云信息、安数云、上元信安、成都世纪顶点、安信天行、锐捷、瑞数信息

    • Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云、瑞数信息

    • Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、奇安信、知道创宇、有云信息、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场、网堤安全、漏洞银行、中国电信·安全帮、安百科技、中国网安、钛星数安、盛邦安全(WebRay)

    • WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、盛邦安全(WebRay)、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技、浙江乾冠、禹成在线、聚铭网络、榕基软件、凌云信安、三零卫士、锦行科技、安数云、有云信息、漏洞银行、四维创智、默安科技、Testin云测、君立华域、东软、悬镜AI

    • 网站安全监测产品:安恒信息、知道创宇、绿盟科技、奇安信、盛邦安全(WebRay)、能信安(能士)、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、悬镜AI、立思辰、浙江乾冠、安数云、凌云信安、安信天行、中睿天下

    • 网站安全监测服务:安恒信息、知道创宇、绿盟科技、奇安信、百度安全/安全宝、盛邦安全(WebRay)、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠、三零卫士、中国电信·安全帮、锐捷

    • 邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、武汉百易时代、安恒信息、浙江乾冠、安数云、北京朗阁/MailData、通软公司、安创科技、中睿天下、亚洲诚信、雀罗/Cellopoint

    • 数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷、思维世纪、安数云、凌云信安

    • 数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷、华清信安、信诺瑞得、安数云、东软、启明星辰

    • 数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷、华清信安、世平信息、东软、启明星辰

    • 数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷、华清信安、瑞宁公司、中新网安、信诺瑞得、安数云、奇安信、网御科技、锐捷、世平信息

    • 半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全、四维创智、雨人网安、锦行科技、安百科技、悬镜AI

    • 应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:飞天诚信、天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信、中科恒伦、上海林果、福建伊时代、龙脉科技、时代亿信、中天航信、中宇万通、融卡智能科技、安数科技、芯盾时代、安数科技、锦佰安、竹云科技、海泰方圆、上海宁盾、亚洲诚信、久安世纪、众人科技 | 各省都有当地政府牵头成立的CA运营公司,全部名单见章节9“电子认证服务使用密码许可单位名录”

    • 代码防火墙:上海观安

    • 代码审计:奇安信、匠迪技术、SECZONE(开源网安)、三零卫士、能信安(能士we)、Testin云测、酷德啄木鸟

    • 加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞、世平信息

    • 反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、奇安信、安天、亚信安全、安恒信息、江民科技、华青融天、思维世纪、芯盾时代、亿盾互联

    • 语音安全:北京无限互联

    • SDL:SECZONE(开源网安)、微软、华为、默安科技


    数据安全

    • 数据备份与存储:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代、敏捷科技、杭州明和、成都世纪顶点、迪思杰、精容数安、互利魔笛(Hoolimagic)

    • 虚拟机备份与恢复:木浪云科技、成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件、迪思杰、东方德康

    • 数据清除工具:北京天桥、中孚信息、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威、中安兴坤


    移动安全/虚拟化安全/云安全/大数据安全

    • 虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件、盛邦安全(WebRay)、瑞星、安数云、安全狗、上元信安、奇安信、易泰通(捍卫者)、六方云

    • 虚拟云桌面:和信创天、华为、奇安信、绿盟科技、启明星辰、天融信、联想、智恒科技、H3C、深信服、锐捷、北信源、中标麒麟

    • 手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾

    • 移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、奇安信、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安、金盾软件、瑞星、嘉赛安全、指掌易、瓦戈科技、芯盾时代、通软公司、和信创天

    • CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰、臻至科技(LOCKet)、安数云、易安联

    • 移动手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、奇安信、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、悬镜AI、安码科技、北京娜迦信息、指掌易、芯盾时代、能信安(能士)、和信创天、凌云信安、四维创智、Testin云测、几维安全、顶象技术

    • 基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、奇安信、华为、安全宝、山石网科、万般上品、东软、白帽汇、海峡信息、四叶草安全、中国电信·安全帮、安全狗、默安科技、Testin云测、京东云 | 此条目待调整、待完善!

    • 大数据安全:安恒信息、启明星辰、绿盟科技、奇安信、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创、天懋信息、金睛云华、思维世纪、安百科技、慧盾安全、凌云信安 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化


    安全管理

    • SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、奇安信、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代、盛邦安全(WebRay)、瑞达信息、网瑞达、瑞宁公司、兰云科技、安信天行、中睿天下、中国网安、华诺科技、艾科网信、江民科技

    • 运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安、瑞宁公司、瑞星、中新网安、安信天行、网御科技、锐捷、久安世纪、众人科技、冰峰网络

    • 网管软件/ITIL/运维管理系统:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件、金盾软件、赢领科技、远臻、勤智运维、四维创智、云雀软件

    • 漏洞扫描与管理/远程安全评估:安恒信息、榕基软件、凌云信安、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、盛邦安全(WebRay)、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、悬镜AI、思度网络空间安全、北京智言金信、聚铭网络、安数云、漏洞银行、御风维安、默安科技、君立华域、中安兴坤、东软

    • 网络和主机基线配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件、榕基软件、安数云、凌云信安

    • 主机安全保密检查工具:北京天桥、中孚信息、北信源、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安、江苏微锐、中天航信、世平信息、中安兴坤

    • 信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!

    • 网络安全态势感知:安恒信息、知道创宇、奇安信、绿盟科技、盛邦安全(WebRay)盛邦、四叶草安全、任子行、上海观安、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技、金睛云华、雨人网安、三零卫士、瑞宁公司、锦行科技、思维世纪、安数云、安全狗、漏洞银行、成都世纪顶点、卫达安全、清华永新、中国网安、安数网络(傻蛋搜索)、安百科技、永信至诚、启明星辰

    • 应急处置工具:安恒信息、中睿天下


    2、中国工控安全产品与厂商大全

    威努特、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……
     

    • 工控防火墙:中科网威、威努特、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能、英赛克科技、三零卫士、圣博润、中科物安、盛道科技、伟思、融安网络、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云、启明星辰

    • 工控安全审计:威努特、天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威、九略智能、英赛克科技、三零卫士、圣博润、中科物安、盛道科技、伟思、融安网络、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云、启明星辰

    • 工控漏洞扫描/挖掘:天地和兴、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇、盛邦安全(WebRay)、三零卫士、凌云信安、四维创智、中科物安、盛道科技、融安网络、思科锐迪、六方云

    • 工控安管平台/SOC/日志审计:天地和兴、中科网威、英赛克科技、三零卫士、中科物安、盛道科技、长扬科技、珞安科技、六方云、启明星辰、安恒信息

    • 工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能、圣博润、易泰通(捍卫者)、盛道科技、伟思、融安网络、航天十二院、思科锐迪、中电和瑞、长扬科技、珞安科技、六方云

    • 工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威、思科锐迪、中电和瑞、珞安科技、启明星辰

    • 工控网闸:安点科技、中科网威、英赛克科技、三零卫士、圣博润、盛道科技、伟思、金电网安、融安网络、航天十二院、长扬科技

    • 工控检查工具箱:安恒信息、圣博润、威努特、天地和兴、长扬科技、珞安科技

    • 工控蜜罐:盛道科技

    • 工控攻防实验室:网藤科技、博智软件、思科锐迪、珞安科技

    • 工控态势感知:安恒信息、博智软件、奇安信、知道创宇、浙江乾冠、中科物安、盛道科技、天地和兴、思科锐迪、长扬科技


    3、安全培训机构(完善中)
     

    • 培训·线上:红山瑞达、汇哲科技、i春秋、安全牛课堂、51CTO、中电运行、西普、安码科技、益安在线、合天智汇、君立华域、墨者学院、永信至诚、易霖博

    • 培训·线下:红山瑞达、汇哲科技、谷安天下、中电运行、易聆科、南京赛宁、西普、安码科技、益安在线、武汉安迹、合天智汇、蓝盾、四叶草安全、竞远安全、四维创智、易霖博、蓝鸥科技、天创培训、江民科技、合肥天帷、永信至诚

    • 安全咨询&培训定制:谷安天下、汇哲科技、科来公司、中电运行、南京赛宁、西普、安码科技、益安在线、速邦咨询、蓝盾、安言咨询、四叶草安全、成都愚安、北京赛虎、上海天帷、天创培训、合肥天帷、众人科技、易霖博

    • 攻防实验室·线上:i春秋、安恒信息、南京赛宁、西普、安码科技、益安在线、武汉安迹、合天智汇、四叶草安全、四维创智、易霖博、永信至诚、SECZONE(开源网安)、

    • 攻防实验室·线下:安恒信息、i春秋、易霖博、绿盟科技、启明星辰、天融信、中电运行、南京赛宁、西普、安码科技、益安在线、君立华域、东方宏宇、南京毛白杨、学博知远、思度网络空间安全、合天智汇、中电运行、蓝盾、四叶草安全、北京赛虎、北京智慧云测DPLSLab、四维创智、红亚科技、天创培训、永信至诚、SECZONE(开源网安)、

    ----------可爱的分割线哟,以下是分类培训----------

    • CISP:安恒信息、中启航、汇哲科技、谷安天下、贵州亨达、陕通、甘肃海丰、中电运行、易聆科、西普、益安在线、蓝盾、四叶草安全、三零卫士、SECZONE(开源网安)、东软、天创培训、思科锐迪、合肥天帷、启明星辰

    • CISP-PTE:四叶草安全、奇安信、四川无国界、天创培训、合肥天帷、启明星辰

    • CISSP:中启航、汇哲科技、谷安天下、中电运行、易聆科、益安在线、蓝盾、SECZONE(开源网安)、天创培训、启明星辰

    • Cobit:汇哲科技、谷安天下、中电运行、易聆科、益安在线、速邦咨询、上海天帷、天创培训、中启航、

    • ITIL:汇哲科技、谷安天下、中电运行、易聆科、速邦咨询、益安在线、上海天帷、中启航

    • CISA:中启航、汇哲科技、谷安天下、中电运行、益安在线、启明星辰

    • CISM:易聆科、中启航、益安在线、中电运行、天创培训、启明星辰

    • ISO 27001 LA:汇哲科技、谷安天下、安言咨询、中电运行、易聆科、速邦咨询、益安在线、北京赛虎、上海天帷、启明星辰

    • PCI-DSS:安言咨询、北京智慧云测DPLSLab

    • 安全意识:红山瑞达、汇哲科技、谷安天下、中电运行、易聆科、益安在线、速邦咨询、武汉安迹、上海易念、SECZONE(开源网安)、天创培训、永信至诚、雀罗/Cellopoint

    • CISAW:北京赛虎、中联旭诚、合肥天帷

    • CIIP:北京赛虎、益安在线、湖南金盾、合肥天帷

    • 渗透测试:恒远IT教育、中电运行、三零卫士、天创培训

    • CWASP CCSD/CSSP:SECZONE(开源网安)、中网华安、甘肃海丰、海南神州希望、益安在线、山东维平

    • NISP:合肥天帷、山东云天、福建国科、四川国讯、河北翎贺、北京中科九盈(新疆)、河北千诚电子、山东好雨时节、北京翰博众安、成都知了汇智、北京一路恺歌、北京中科九盈(廊坊)、天津市大学软件学院、兰州希赛、于晨国际IT认证中心


    4、风险评估/安全服务/应急响应
     

    • 绿盟科技、启明星辰、奇安信、安恒信息、天融信、恒安嘉新、亿阳信通、国舜股份、四叶草安全、山东新潮、青藤云安全、武汉安迹、长亭科技、思度网络空间安全、悬镜AI、盛邦安全(WebRay)、浙江乾冠、西安市信息安全测评中心、湖南金盾、三零卫士、安全狗、竞远安全、锦佰安、能信安(能士)、陕西省网络与信息安全测评中心、锐捷、安创科技、默安科技、爱加密、君信安科技、思科锐迪、极境云、永信至诚、众人科技、任子行   | 补充中,欢迎提出宝贵建议!


    5、中国自主可控网络安全产品与厂商

    •  
    • 数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;

    • 就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;

    • 对于名单中未涉及的厂商,请直接加微信 15339230081 告知欲添加的分类、公司名称(需在上述3个联盟中);

    • 感谢中关村可信联盟自主可信专委会相关工作人员整理!

    •  
    • 防火墙:中科网威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所、瑞星

    • 入侵检测/防御:中科网威、网神、中科曙光、安恒信息 、绿盟科技、汉柏

    • 漏洞扫描系统:中科网威、安恒信息 、绿盟科技

    • 安全管理平台:启明星辰、中科网威、奇安信、浙江乾冠

    • 网闸/安全隔离与信息单向导入设备:国保金泰、中科网威、北京安盟、赛博兴安

    • 加密机:江南天安

    • 终端安全:北信源、江民科技、瑞星

    • Web应用防火墙:上海天泰

    • 堡垒机:建恒信安、江南寰宇

    • 负载均衡:般固科技

    • 防毒墙:江民科技、瑞星

    • 备份一体机:壹进制

    • 网络流量分析:北京卓迅

    • 网络准入控制:画方科技

    • 存储:创新科、同有飞骥

    6、未分类子类
     

    • 舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、FreeBuf.com/网藤风险感知、南京快页数码、博智软件、北京中安智达、三零卫士

    • 威胁情报:微步在线、上海观安、斗象科技/FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、奇安信、安恒信息、金睛云华、三零卫士、安全狗

    • 国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux

    • 国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase

    • 业务风控安全:顶象技术、指掌易、邦盛、岂安、行邑、同盾、通付盾、匠迪技术、瑞数信息

    • 蜜罐:三零卫士、绿盟科技、默安科技、锦行科技、永信至诚、安恒信息、启明星辰

    • 安全硬件平台/工控机:兴汉网际、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能

    • 数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件

    • 数据库准入:杭州美创

    • 数据库堡垒机:杭州美创

    • 红黑电源滤波插座:保旺达、启航智通

    • 电磁屏蔽柜:启航智通、信安邦

    • 数字取证:美亚柏科、盘石软件

    • 安全计算机:瑞达信息

    • 众测平台:安恒信息、湖南金盾

    • CTF比赛:君立华域、永信至诚、易霖博、赛宁网安、天创培训、安恒信息

    • 区块链安全:慢雾科技、知道创宇、长亭科技、成都链安、派盾科技(PeckShield)、降维安全、安恒信息

    • 视频监控安全:慧盾安全、天融信、启明星辰、安恒信息、锐捷、凌云信安

    • 网络靶场:永信至诚、四叶草安全、安恒信息、易霖博


    近期更新一批创新安全公司,基于云平台、虚拟化、反欺诈方面的。欢迎推荐。

    有些公司,要么是新兴公司,要么是行业或产品比较特殊,所以尚未分类,包括但不限于:西电捷通等……


    由于行业发展速度太快,有的产品可能横跨几个分类……比如有日志审计+数据库审计+网络审计一起的,还有打印审计+光盘刻录审计一起的,特别难区分。我们也正在考虑如何建一个更合理的分类,也期待您的建议;另外,更多公司等您推荐!

    展开全文
  • 安全漏洞的源头是开发,只有当开发人员出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发出更“安全”的代码,是安全防护工作中最关键的一环。 2004 年,微软提出了 SDL(Security Development ...

    在这里插入图片描述

    安全漏洞的源头是开发,只有当开发人员写出了包含安全漏洞的代码,黑客才有可乘之机。因此,如何保障开发写出更“安全”的代码,是安全防护工作中最关键的一环。

    2004 年,微软提出了 SDL(Security Development Lifecycle,安全开发生命周期)。因为对安全和隐私的考虑贯穿了整个软件的开发进程,SDL 能够帮助开发人员写出更“安全”的代码,在解决安全合规需求的同时,也能减少由安全问题带来的损失。

    和安全标准一样,SDL 本质上是一个宏观指导性质的框架。但是,它确实成为了很多公司建设安全开发体系的参照标准。各个公司依据微软的 SDL 标准,结合自身的实际情况,衍生出了适合公司自身发展的 SDL。今天,我们就一起来学习,到底什么是 SDL,以及 SDL 是如何让开发写出更安全的代码的。

    SDL 中的基础概念

    我们先来看一个软件开发中的经典概念:软件开发生命周期 DLC(Software Development Life Cycle)(这个概念的英文缩写种类比较多,为了和 SDL 区分,我们用 DLC 代表软件开发生命周期)。SDL 是以软件开发生命周期为基础发展成的安全框架,所以,了解 DLC 能够帮助我们更好地认识 SDL。

    DLC 将软件开发过程分为 5 个阶段:需求分析、设计、开发、测试和部署。DLC 对5 个阶段的具体描述,都是以业务功能为核心进行展开的,并没有涵盖安全的工作。这显然不安全。

    而且我们都知道,安全问题对公司的威胁是客观存在的。因此,很多公司将安全纳入到测试的工作中。但是,这种做法会导致两个问题:第一,安全问题要等到软件开发完成后才能发现。这个时候,因为一个安全隐患(不是 BUG),让开发人员重启开发流程,推动上会遇到较大的阻力;第二,只能关注到最终完成的软件,往往会导致安全人员因为对业务了解不足,漏过一些安全隐患。这些问题的出现,让业内亟需一个能够更好地满足安全需求的软件开发流程,SDL 也就应运而生了。

    什么是 SDL?

    SDL 的出现不是为了颠覆传统的 DLC 框架,而是希望在 DLC 中加入足够清晰的安全需求,以此来为软件开发的过程提供完整的安全防护。SDL 的标准执行流程有 7 个步骤:安全培训、需求分析、设计、开发、测试、部署和响应。流程如下图:
    在这里插入图片描述

    接下来,我们就一起来看一下,这些步骤中都包含哪些安全工作。

    1. 培训

    在 SDL 中,安全培训是第一步。之所以会这么设计,就是因为很多公司都对安全人员给予了过高的期望,认为他们能够解决一切的安全问题,而忽略了对开发、测试、运维等人员的安全意识培训。这就导致安全人员一直处于一个“救火”的状态,无法从根本上杜绝安全问题的产生。

    因此,SDL 中明确提出:开发、测试、运维和产品经理每年至少进行一次安全培训。培训的内容包括安全概念和框架、威胁评估、Web 安全、安全测试以及隐私保护等。

    1. 需求分析

    SDL 要求在需求分析的过程中,我们必须把安全防护的需求考虑进来。在需求分析阶段,安全人员提出的防护需求主要包括三个方面。

    安全标准:为软件制定对应的安全标准。比如,需要对敏感数据进行加密存储、需要进行二次认证等。
    安全指标:定义软件在上线时需要满足的安全指标。比如,在上线时,软件必须经过安全测试,且不允许存在任何高危漏洞。
    风险点评估:安全人员会对整体需求进行评估,找出需要对安全性重点关注的部分,也就是风险点。比如某个需求会使用到用户的隐私数据,那么风险点就是这些隐私数据。
    这三个方面的安全需求,能够为软件开发划定最低的安全保障,也能够时刻提醒软件开发环节的各个人员保持对安全的关注。

    1. 设计

    对需求进行分析整理之后,我们就需要对软件的功能和架构进行设计了。那我们都需要设计些什么呢?其实就是为后续的开发、测试和部署环节制定响应的方案和计划。针对上面整理出的三个方面的安全需求,我们也需要在设计环节中,给出具体的实现方案。

    为安全标准确定具体的实施方案。比如,对敏感数据做加密存储,那么,具体的加密算法是什么,密钥怎么生成和存储,都需要在设计阶段确定方案细节。
    安全指标的响应方案则是在软件开发方案中,尽可能地考虑安全问题,降低可能出现风险的概率。比如,依据最小权限原则,明确软件每个用户和角色能够进行的操作。或者确定审计需求,明确各个阶段需要记录的日志及时发现攻击行为。
    对于需求阶段定义的风险点进行完整的风险评估。依据识别数据、攻击和漏洞的方式,明确需要采取的安全防护机制,提升这些关键风险点的安全性。
    在设计的过程中,我们需要对安全和开发成本进行平衡考量,使得最终的安全设计方案能够被所有项目人员认可。

    1. 开发

    在开发阶段,安全人员的工作则是尽可能地避免开发人员的代码出现安全问题。那究竟应该怎么做呢?其实,我们可以通过限制工具和方法、定期审查代码来实现。

    首先,我们可以限制开发人员使用的工具和方法。比如:为了避免插件漏洞,我们可以只允许开发人员使用通过我们验证的插件和工具;为了避免 SQL 注入漏洞的出现,我们可以限制开发人员使用字符串拼接的方式执行 SQL 等。

    其次,我们也需要对开发人员产出的代码进行定期的安全审查,通过人工或者工具分析,发现一些没有得到限制的安全漏洞。比如,没有对用户的输入进行验证等。

    1. 测试

    在测试阶段,测试人员会对软件的功能进行测试,安全人员需要对软件的安全性进行测试。测试的内容主要包括两个方面。

    一方面,我们需要评估软件是否符合当初的安全设计方案,是否存在不一致的地方。有的时候,虽然我们在设计的时候考虑了最小权限原则,但是在实际开发的过程中,也可能由于开发人员的理解偏差或者 BUG,导致权限滥用的出现。因此,在测试阶段我们需要依据当初的安全设计方案,一项一项去确认是否符合要求。

    另一方面,我们要进行动态的安全测试。动态测试的方法有两种,执行漏洞扫描和进行模糊测试。漏洞扫描很好理解,我们可以通过向软件发起一些测试性的攻击脚本,来验证是否存在漏洞。模糊测试就是不断向软件发起随机或者异常的请求,然后看软件是否出现报错等情况,以此来检测可能存在的漏洞。

    1. 部署

    在测试完成之后,软件就可以准备部署上线了。

    到这一步,可以说安全人员已经把安全漏洞出现的可能性降到最低了。但是,我经常说“没有 100% 的安全,安全人员需要随时为可能发生的安全事件做好防护准备”,所以,在软件上线前,我们需要做好安全预案。

    我来举个例子。一旦出现数据泄露事件,运维人员必须第一时间对数据库进行隔离,开发人员需要下线软件相关功能,产品人员需要做好用户的安抚工作,安全人员需要立即对相关日志进行保存,然后分析事件产生的原因。这就是一个安全预案的基本框架,但是每一步的具体操作,还需要我们根据实际情况来细化。

    预案准备完成之后,我们还需要再一次进行安全确认工作。这个过程主要是来确定,软件的整个开发流程是否有严格按照既定的 SDL 流程进行,以及最终的软件是否满足我们开始提出的三个安全需求。

    在各项事情都确认完毕之后,我们就需要对整个项目进行归档了。归档之后,包括代码、需求列表、设计方案和应急预案在内的所有的内容都不允许改动。

    完成了安全预案、安全确认和归档之后,我们就可以进行软件的最终部署上线了。

    1. 响应

    软件上线之后,安全人员所需要做的,就是及时响应和处理安全事件。这就需要用到我们在部署阶段制定的安全预案了,为了执行这个安全预案,我们需要成立安全应急响应小组。这个小组的工作就是对安全事件以及外界的漏洞情报进行监控,一旦发现安全事件立即对事件进行评估,决定需要启动的安全预案。通过安全应急响应小组,我们可以保持对线上软件安全的时刻监控,保障软件的安全和稳定。

    现在,相信你已经能够理解 SDL 是如何从根源上解决安全问题的了。我来简单总结一下:SDL 通过安全培训来解决人的问题,然后在需求和设计阶段提出安全需求,在开发和测试阶段发现安全漏洞,最终在部署和响应阶段处理安全问题。

    如何推动 SDL 落地?

    尽管 SDL 能够从根本上解决安全问题,但是 SDL 的落地却依然存在较大挑战。最主要的原因就在于,SDL 更像一个规章制度,它必须获得开发人员的认可,而大部分的开发人员很排斥安全制度。

    尽管如此,为了提升公司的整体安全性,我们要尽力推动它落地。那究竟该怎么做呢?我们可以从三方面入手,降低推动 SDL 落地的难度。

    1. 我们要基于现有的制度拓展 SDL。

    如果公司已经比较成功地实施了 DLC,那 SDL 的成功落地就已经实现一半了。因为这说明,开发人员已经在一定程度上认可或者接受了这种制度化,我们只需要在此基础上再加入一部分安全内容,就能实现 SDL 的落地了。这对开发人员的影响不大,也就更容易接受。

    因此,我个人建议不要从零开始强推 SDL,应该循序渐进,先定义好普通软件开发的制度,再加入安全元素。

    1. 我们在落地 SDL 的时候要灵活变通,不要生搬硬套。

    SDL 的执行流程非常厚重,如果我们严格按照 SDL 的标准流程执行,在软件开发的每个步骤中加入一定的安全工作,这无论对谁都是不小的负担。所以,我们要根据公司的实际情况灵活变通。

    变通的方法有很多,实现方式上的变通是最常见的一种。我来说几个常见的例子。

    将安全培训加入到公司定期举办的内部技术交流分享会中。这样一来,既不会因为强制培训的要求引发开发人员的不满,又能提升培训的效果。
    在制定安全方案的时候,将安全扫描加入到开发提交代码、检测代码质量的过程中,这样就能避免开发人员更改开发流程。
    总之,实现方式上的变通就是将 SDL 的各个环节按照开发人员最认可的形式,进行灵活的设计和运转,提升 SDL 的落地效率。

    1. 在 SDL 的覆盖面上,我们也可以有所取舍。

    每个公司都有大大小小的多个业务线,让每个业务线都严格遵守这个 SDL 流程,是很难实现的。因此,对于一些量级小、敏感数据少的业务,我们可以适当降低安全标准。

    以开发设计环节为例,我们可以不需要根据具体业务提出具体的安全需求,而是梳理出一份包含常见的安全设计方法的通用列表(包含认证规范、加密标准等)。然后,直接将这个列表发放到开发人员手上,让他们自评。这样既提升了开发人员的工作效率,又降低了我们的工作量。

    总结

    好了,今天的内容讲完了。我们来一起总结回顾一下,你需要掌握的重点内容。

    SDL 可以从根源上解决安全问题:通过加入安全的角色和职责,SDL 让安全贯穿软件开发的整个生命周期;通过事前的培训和事后的应急响应,SDL 为软件提供了额外的安全防护保障。

    尽管 SDL 非常实用,但是它的落地仍然面临很多问题。为了推动 SDL 落地,我们要基于公司已有的开发流程和机制,灵活部署 SDL。这样我们才能在做出最小改变的情况下,仍然将安全贯穿于软件开发的各个流程之中,提升公司整体的安全性。

    目前,安全仍然是一个比较特殊的工作,并没有纳入到软件开发的必备工作中去,这也是 SDL 在国内成功案例并不多的一个主要原因。但是我相信,正如微软等老牌企业的发展历程一样,随着 IT 行业的不断发展,安全工作会和测试工作一样,逐渐变成一个必备环节。SDL 也会成为各个公司的核心规则制度,被大部分人接受。

    思考题

    最后,我们来看一道思考题。

    SDL 的成功落地需要开发人员的支持和安全人员的高效率工作。你可以思考一下,在 SDL 落地的开发和测试中,有哪些工作是可以通过工具来自动或者半自动化地完成的呢?这些工具的工作原理又是怎么样的呢?

    欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!

    下一讲

    业务安全体系:对比基础安全,业务安全有哪些不同?

    展开全文
  • Android培训Android课堂重点内容汇总

    千次阅读 2016-06-06 14:43:10
    Android培训Android课堂重点内容汇总 一、Android Introduction Android 是一个允许你在java环境下为手机设备开发应用和游戏的提供丰富应用框架。 二、四大组件 1、Activity (1)定义:提供给用户一个与app进行...

    Android培训Android课堂重点内容汇总

    一、Android Introduction

    Android 是一个允许你在java环境下为手机设备开发应用和游戏的提供丰富应用框架。

    二、四大组件

    1、Activity

    (1)定义:提供给用户一个与app进行交互的UI界面的组件

    (2)创建

    //步骤

    (1 继承Activity或者其子类

    (2 必须实现OnCreate()

    (3 OnCreate()实现SetContentView(),为这个Activity提供的窗口,添加layout(布局)

    (4 在配置文件AndroidManifest.xml中声明该Activity

    (3)生命周期

     

    (4)通过传递Intent对象启动,启动方式两种,一种不返回值startActivit(),另一种带返回值startActivityForResult()

    2、Broadcast Receiver

    (1)定义:用来应答全系统范围之内通知的组件,两种表现形式,一时系统组织的(例如:锁屏、电量低、截图),二是自定义的(例如:下载完成数据发送广播通知),广播通常只做非常小的事情。

    3、Content Provider

    (1)定义:管理app共享数据集合的组件,只要该组件允许,其他的app就可以对其进行读写操作,例如:通讯录、图库、视频、音频。

    (2)通过ContentSolver,发送数据请求,接受请求结果并返回。

    (3)使用ContentProvider会是应用的数据被其他应用共享,所以应谨慎使用,例如:搜索联想建议、copy/paste本应用的复杂数据到其他应用中。

    4、Service

    (1)定义:是一个不需要提供与用户进行交互UI的,运行在后台,进行长时间操作或者远程操作的组件。

    (2)Service的两种使用类型:Started和Bound

     Started在onStartCommend()方法中接受返回值操作,需要开发者自己管理的启动与停止。

     Bound 是将服务绑定到某一个或某些特定的组件上,不需要开发者关心服务的停止,当该服务上的绑定的组件都解绑时该服务会自动销毁。

     (3) StartService()启动会激活并将结果返回到onStartCommend()中;BindService()方法激活onBind()方法。

    (4)使用技巧:在onCreate()实现服务初始化,针对不同的启动类型选择相应的回调方法处理Service信息,在onDestory()中回收资源,例如线程、监听、广播接受等等,最重要的一点你的服务需要在配置文件中声明,同时为了保证你app的安全性最好设置exported属性为false,但是你的谨慎设置你的enabled属性,他决定你的service能否被实例化,尤其在绑定服务。

    (5)什么时候用Thread什么时候用Service?

        前因:Service默认运行在当前app进程的主线程中,如果在Service做耗时操作,将有可能导致ANR的发生,耗时操作需要放到线程,但是Service适合执行在后台且不需要与用户进行交互和返回数据的情形,如果需要在Service中做耗时操作,则需要在Service中开启线程,其中有很多种选择:AsynTask、HandleThread或者继承自带工作线程的IntentService。

    5 、总结

    (1)Activity、Broadcast Receiver、Service通过传递意图参数启动(激活),并且这三者之间可以通过Intent互相交流,Content Provider不需要,它通过Content Resolver启动(激活)

    (2)四大组件都需要被声明且都具有静态声明的方式,但是Broadcast Receiver提供了一种动态声明的方式:registerReceiver().

    三、配置文件-mainfest

    1、作用:声明app权限、组件、版本

    2、在Android Studio中,版本控制等设置属性被迁移到了当前Gradle中,区别Eclipse Ant只能在配置文件内设置.

    四、UI

    1、手机坐标

    默认的左上角坐标为(0,0),水平方向为x轴,垂直方向为y轴

    2、布局

    (1)LinearLayout-线性布局 属于ViewGroup类

     (1 特点:子布局呈线性分布,在同一时间只能呈现出一个方向的显示效果,通过orientation设置

    (2 layout_gravity:是指当前布局,在最靠近它的父布局中的位置

    (3 gravity:设置当前布局内部,子布局的具体位置

     (4 layout_weight为当前布局设置在父布局中的权重,但是要注意要将相应方向的属性值设置为0dp,例如:设置水平方向等分,应将layout_width设置为0dp,默认values0

    (2)RelativeLayout-相对布局 也属于ViewGroup类

    (1:当出现多个LinearLayout嵌套的时候,可以采用RelativeLayout提高效率(具体用布局分析工具查看)

    (2:具有两种设置位置的方式:一是根据与父布局的相对关系确定;二根据父布局内以确定子布局的位置的相对位置确定;

    (3)FrameLayout-帧布局

    (4)GridView+ListView

    3、计量单位

    (1)px、sp(设置文字大小的)、dp(除了文字大小以外的尺寸)

    4、TextView、Button、EditView、ImageView

    5、R文件

    6、View类

    (1)onMeasure()\onLayout()\onDraw();

    7、回调机制之OnClickListener

    8、沙盒

    (1)app安装到设备之后,系统便会为app分配一块安全区域的“空间”,称之为sandbox(沙盒)

    (2)作用:

    (1:首先Android OS是一个多用户的Linux系统,是每个app成为了多用户的一份子

    (2:系统通过一个独一无二的Linux user ID管理app,但是app本身并不知道它自己的ID

    (3:保证了每一个app都独立运行在自己的进程中,而且app之间运行过程互不影响。

    (4:Android 系统在app中的组件需要被执行的时候,通过ID开启他们的进程,当app长时间不执行或者系统需要回收内存为其他app提供资源的时候回关掉当前app。

    (5:通过最小权限原则保证用户的可以正常运行的权限,其他权限交由用户自己选择是否开启,这样营造了一个Android所谓的安全稳固的环境。

    (3)提供了两种方式,打破沙盒限制,实现多个app之间的数据共享以及app可以接入到系统的服务。

    (1:通过设置相同的Linux user ID,是多个app运行在一个进程里,可以互相访问彼此文件,相同的Linux 进程可以共享具有相同证书签名的VM里。

    (2:在app首次安装的时刻,会让用户准许需要的权限,实现用户接入到系统权限(通讯录,摄像头、蓝牙、SD等等)的目的。

    9、设备适配

    (1)主要通过App Resource文件下的内容,达到适配的效果.

    (2)分类:语言适配、SDK 平台的适配、屏幕尺寸的适配,如果要兼容不能适配的设备,根据以上三种分类,在代码中动态的判断。

    (3)语言适配:通常的做饭为应用提供支持的语言包,并将语言包存放的合适路径的strings.xml中,比如我要支持在中文的基础上额外的支持英文,可创建一个values-en文件夹,将values里面strings.xml的中文内容对应的翻译到该文件夹下的strings.xml中,需要注意的是string的name属性应该保持一致。

    (4)屏幕适配:又分为尺寸small、normal、large、xlarge,对应着布局的文件夹layout,其中layout-land对应的是横屏状态的屏幕布局。另外,还通过密度区分,主要作用域图片的文件夹drawable-ldpi、mdpi、hdpi、xdpi等等。

    (5)平台适配:主要值得是v系列包的向下兼容,例如

    android.app.Activity.Fragmentandroid.app.Activity.v4.Fragment的使用问题,前者只能在3.0之后使用,二后者可以兼容3.0之前的版本,让其可以使用Fragment

     

    10、权限系统

    (1)安全证书(认证)

    (2)应用签名(非对称加密+证书认证):用来区分应用开发者。可以允许操作系统授权或者拒绝应用程序使用签名级别权限和操作系统授予或者拒绝应用程序请求或者拒绝应用程序使用相同的Linux身份。

    (3)通过Linux进程ID实现应用间的文件共享

    (4)自定义权限:

     <permission android:name="com.me.app.myapp.permission.DEADLY_ACTIVITY"
            android:label="@string/permlab_deadlyActivity"
            android:description="@string/permdesc_deadlyActivity"
            android:permissionGroup="android.permission-group.COST_MONEY"
            android:protectionLevel="dangerous" />

    11、Intents and Intent Filters

    (1)定义:Android通知其他组件的执行某种行为操作的信息对象。

    (2)使用:启动Activity(两种方式)、启动Service(两种方式)、deliver  Broadcast(两种方式)

    (3)Intent 分类:

    (1直接(显式)意图:当你启动一个直接意图时,系统会立即在当前app根据意图携带的内容,执行相应的操作。

    (2 间接(隐式)意图:当启动一个叫间接意图时,系统会找到合适的组件去启动,所谓合适的组件就是在当前设备上所有app符合Intent Filter所过滤的内容的组件,如果只有一个符合要求的会直接启动,如果存在多个符合要求的组件,系统会弹出dialog让用户自己选择哪个组件去执行意图操作。

    (4)Intent Filter

    (1 定义:在配置文件里面指定你当前的组件能够接受的Intent Type,例如,你为你的组件声明了Intent Filter,其他的应用就可通过该Filter启动你的组件了。

    (2 注意: 如果你想确保你的程序组件是安全的,尽量不要为你的app 组件设定Intent Filter,而是用直接(显式)意图实现Intent Filter的功能。

    (3 针对Service的 bindService(),5.0以后不允许通过间接(隐式)意图的方式调用。

    (5)Intent

    (1 Note: When starting a Service, you should always specify the component name. Otherwise, you cannot be certain what service will respond to the intent, and the user cannot see which service starts.

    (2 三种指定Intent组件的方式:完整的类名(含包名);调用setComponent(),setClass()setClassName();用 Intent 构造函数。

    (6)Note:如果使用隐式意图,设备上的app无法响应你的意图,你的app 将会终止,所以需要判断自己设定的Action是否有应答,通过该方法intent.resolveActivity(params);

    12、Common Intents(通用的意图)

    1)具体Intents

     

    (2)现在Google支持在自己的app 中添加intent-filter,接受其他app请求的Common Intents

    13、Loaders

    (1)定义:3.0以后引入的,为ActivityFragment简化异步加载数据的工具。主要作用:自动更新最新的内容,向显示器及时更新显示最新数据,通常获取到的都是CursorLoader对象,例如,通讯录搜索联系人结果列表;

    (2)主要方法:

    (1 启动Loader加载器:initLoader()

    (2 重新刷新数据restartLoader()

    (3 监听Loader的状态(创建、完成加载、重置加载内容)

    (4 读取通讯录的源码查看开发文档

    14、Tasks and Back Stack

     

    (1)TaskActivity的集合,用户与这Task里的Activity进行交互、并且这些Activity是有序的存储在Back Stack里面的。


    (2)Task进入后台,它的Activity全部停止,但是Back Stack存储了各个Activity的状态,等待Task重新执行的时候,重新resume Activity

    (3)管理Task--launchMode

    1 standard(默认方式):TaskActivity数量随创建的次数增加,及一个Task中可以存在多个“重复”的Activity

    2 singleTop:当在当前TaskBack Stack的栈顶存在需要被调用的Activity时,将不会在重新创建该Activity,而是将Intent的内容交于onNewIntent()方法处理。与FLAG_ACTIVITY_SINGLE_TOP作用一致。

    3 singleTask: 当前的或者其他Task中存在某个将要被调用的Activity,该Activity不会再创建,而是将Intent的内容交于onNewIntent()方法处理。与FLAG_ACTIVITY_NEW_TASK作用一致。

    4 singleInstance:跟singleTask类似,唯一区别是这种模式下允许多个Task可以拥有该Activity实例

    (4)taskAffinity可以指定当前Activity期望存在的Task名称,

    即如果两个ActivityTasktaskAffinity相同以singleTask方式启动Activity时,会将这两个Activity放到同一个Task中。

    (5) 如果一个 .apk 文件中包含了多个“application”,你可能需要用 taskAffinity 属性来指定每个“application”activity affinity 值。

    (6)生命周期图略

    (7)

    对于那些不想让用户返回的 activity,把 <activity> 元素的 finishOnTaskLaunch 设为 "true" 即可

    15.Fragment

    (1)生命周期常用方法

    (2)与Activity生命周期的关系

    (3)为Activity添加一个没有UIFragment

    1 Tag是其唯一的标示

    2 可以执行以下不需要交互的后台操作,比如开启线程更新进度条实例:FragmentRetainInstanceSupport.java位于:(sdk\extras\android\support\samples\Support4Demos\src\com\example\android\supportv4\app

    · Fragment之间一些比较有趣的方法:setTargetFragment()\setRetainInstance(true)该方法对Fragment生命周期有这很大的影响onDestroy() will not be called (but onDetach() still will be, because the fragment is being detached from its current activity).

    · onCreate(Bundle) will not be called since the fragment is not being re-created.

     

     后者可以配合没有UIFragment进行数据量较大的现场保存公共,实现类似onRestoreInstanceState()等恢复现场的方法。

    (4)通过回调实现ActivityFragment的通信,具体步骤:在Fragment中定义接口,在Activity中实现该接口

    (5)Fragment经典用法,为横屏和竖屏设置两套布局,横屏有一个Activity两个fragment,二竖屏情况下两个Activity+两个Fragment组成。第一种情况下,屏幕横屏状态布局显示为左边是列表状态,而右边是详细内容。

    三、实战:青岛美食城项目

    (1)SharedPerferences数据存取

     (1:匿名的SharedPerferences.getPerference(String)通过String参数只在Activity内部中使用。

    2:SharedPerferences.getSharedPerferences(Stringint)通过String参数,在app范围内使用,通过int控制使用范围是否可以与其他app共享,api17之后只建议在app内容使用即int参数只支持MODE_PRIVATE

    3:拓展Android的常见的五种存储方式

     <1>键值对的存储方式:SharePerferences,如上面介绍的那样。

     <2>内部存储器特点:对app是私有化访问的,app卸载内容清空,内存不够系统会自动回收该部分的内存。

     <3>外部存储:分为两种一种设备自带的,另一种常用的SD卡,对于设备来说可以被其他app共享的存储器。

    注意:

    <manifest ...>
        <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"
                         android:maxSdkVersion="18" />
        ...
    </manifest>

    :操作外部存储器需要获取读写权限,但是在4.4以后访问app自己的私有文件是不需要权限的。

    getExternalStorageState()使用的时候要先判断存储器的状态,如果存在存储器再进一步进行操作。

    getExternalStoragePublicDirectory():想要将自己的数据与其他app共享,需要存储到系统提供的公共的文件目录下,比如:图库、音乐、零食等文件夹下(Music/Pictures/, Ringtones/)传递的参数分别为:DIRECTORY_MUSICDIRECTORY_PICTURES,DIRECTORY_RINGTONES

    <4>数据库存储:数据库存储的是结构化的数据,对于app来说是私有的。

    <5>网络请求(云存储):需要流量请求的数据。使用的操作方法:

    Java.net.*/Android.net.*

    (2)Json数据手动与自动解析

    (3)网络请求_Volley

    (4)RecyclerView列表

    (5)WebView

    <1><WebView>控件:Android提供给开发者的一个加载网页的控件。可以用来加载web页面,添加js方法实现交互、添加接口实现web页面与原生控件的交互,同时也可以监听网页的加载全过程信息反馈,最重要的的

    四、动画

    1、动画分类:属性动画、视图动画;视图动画又分为补间动画、帧动画。

    补间动画(View Animation

    定义:只针对View及其子类的动画。

    常用属性:位移、缩放、透明度、旋转。通过在res/anim中添加xml文件来实现,常用的标签<set><alpha><rotate><scale><translate>,通过AnimationUtils来加载xml动画,并返回Animation对象。View通过该对象设置动画。实例:Animation hyperspaceJumpAnimation = AnimationUtils.loadAnimation(this, R.anim.hyperspace_jump);
    spaceshipImage.startAnimation(hyperspaceJumpAnimation);

    2、帧动画(Drawable Animation

    定义:针对res/drawable的图片资源实现类似幻灯片切换的动画。该动画的设置同样是通过xml来设置的。同时该xml动画文件是应该存放在res/drawable文件目录下的。

    特点:逐帧播放,每一帧对应一张图片,在xml中常用的标签<animation-list><item>

    3、属性动画(Property Animation

    定义: 3.0 API11之后加入,不局限于View的动画,所有的对象都可以使用该动画,这就决定了具备动画的控件不一定要在屏幕上显示,它还可以是“幕后”对象。

     

    展开全文
  • 2019年度优秀安全内容合集

    千次阅读 2020-01-06 13:28:23
    2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
  • 程序员内部培训与个人发展杂谈

    千次阅读 多人点赞 2017-07-18 17:16:17
    前言 文中的培训均指代内部技术培训 本文是对《如何优化程序员的...培训的发展过程培训内容是技术知识,要了解培训的发展,首先要知道技术的发展。技术从无到有再到成为热门,相关的知识也需要不断积累的过程,这个过
  • 软件测试培训笔记

    千次阅读 2014-10-09 21:48:14
    软件测试培训笔记!
  • 话说多方通信其实正规渠道还是要走人家的openapi,合法、授权机制、安全。 这个玩意其实比较老了,现在除了腾讯的即时通信体系,其他的诸方看来都开始使用标准协议。当然腾讯比较NB,用户也大,人家不屑于和你们搞...
  • 陈树华是阿里巴巴移动安全部负责人,阿里聚安全、阿里钱盾等产品创始人,移动互联网安全体系建设开拓者,也是国内最早的一批移动安全专家。10年前,他加入趋势科技,发现了诸多系统安全漏洞,并主...
  • 提高微服务安全性的11个方法

    千次阅读 多人点赞 2020-12-21 08:41:47
    1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和保护密钥 6.通过交付流水线...
  • 聊聊面试培训机构学员的感受

    千次阅读 2020-10-17 10:05:16
    前段时间公司招聘运维工程师,筛选了近百份简历,面试了几十个人,结果真是大跌眼镜,一直想文章聊聊这事。 昨天《人物》公众号的文章《底层程序员,出局》,通过故事的形式把培训机构批量生产一批底层程序员的...
  • 米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理与危害SQL 注入就是指,在输入的字符串中注入 SQL 语句,如果应用相信用户的输入而对输入的字符串没进行任何的...
  • WebApp 安全入门

    千次阅读 2019-06-25 23:30:14
    2018 网络安全事故频发,从数据泄露、信息窃取,到 DDOS 攻击、勒索病毒,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者在不断开发新的攻击途径的同时,也尽力在攻击过程中掩盖其踪迹,使网络安全防护变...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 面对培训的忽悠

    千次阅读 2016-05-14 21:35:54
    想按曾经您说的,课外学习喜欢的网络安全,并且可以跟上ACM训练队训练算法内功,但是,感觉课内已经挤占太多时间。真是感觉心有余而力不足。所以一旦培训机构打广告而且贬低大学教育,就会在我心中产生巨大骚动,...
  • 记录一次培训心得

    万次阅读 2019-01-07 12:21:58
    2019年1月5日下午三点半,来自XXX公司的X老师给我们上了...2、在开发一个项目之前,需要编写完整的需求文档,架构文档,其中需求文档需要编写十分详细,包括软件的某些地方是否要检错,检错的内容都要列出来,假如是...
  • GIT培训教程

    千次阅读 2017-02-21 13:56:07
    GIT培训教程
  • 网络安全类学习资源

    千次阅读 2020-11-20 21:41:12
    目录分类 媒体社区类 安全公司类 应急响应类 安全团队类 高校社团类 ...i春秋 :- 专业的网络安全、信息安全、白帽子技术的培训平台及学习社区,78万安全用户的精准推荐。 合天智汇 :- 为广大信息安.
  • 软件开发、软件设计培训笔记

    千次阅读 2013-12-08 11:34:30
    软件开发、软件设计培训笔记!
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少...
  • 运维工程师工作内容整理

    千次阅读 多人点赞 2019-11-06 15:29:19
    @# 运维工程师工作内容整理 总结两句话: 1、保障业务长期稳定运行(如网站服务器、游戏服务器等)。 2、保障数据安全可靠(如用户名密码、游戏数据、博客文章、交易数据等)。 由这两句话推演运维工程师要学些什么...
  • Visual SourceSafe简明培训教程

    千次阅读 2007-03-21 00:08:00
    名称 Visual SourceSafe简明培训教程(Visual SourceSafe Trai
  • 一、互联网安全协议概述1.1 互联网协议体系TCP/IP协议的体系结构IP数据报格式及TCP/UDP报文段格式 Web技术构成:HTTP协议、HTML标记语言。 TCP/IP协议栈中安全机制的相对位置:网络层、运输层和应用层。1.2 互联网...
  • 米斯特web渗透测试网络安全洞察安全视频教程

    千次阅读 热门讨论 2019-03-10 14:38:57
    本教程是米斯特最新的一期web渗透测试教程—洞察安全视频教程,也是米斯特出品的最后一期渗透测试教程,本教程适用于有一定基础的朋友,对于想要学习渗透测试的朋友有一定的帮助作用,对于小白建议先学习米斯特第一...
  • CTF夺旗赛培训——基本知识

    万次阅读 2016-12-04 06:18:09
    什么是信息安全 在网络出现以前,信息安全指相对信息...互联网出现以后,信息安全除了上述概念以外,其内涵扩展到面向用户的安全——鉴别、授权、访问控制、抗否认性和可服务性以及内容的个人隐私、只是产权等的保护。
  • 简明oracle8i培训手册

    千次阅读 2006-03-14 14:13:00
    简明oracle8i培训手册
  • CAN总线整车电子电气架构设计培训

    千次阅读 2019-04-02 09:50:45
    广州虹科(微信公众号:虹科培训)拟举办CAN总线整车电子电气架构设计培训班,欢迎各位感兴趣的朋友报名参加,我们期待您的参与!... 1.3 电子电气架构设计的内容 1.4 电子电气架构设计的阶段划分 1....
  • 升职加薪的工作总结怎么

    千次阅读 2020-12-10 01:25:25
    想要升职加薪,工作总结要什么内容呢?你为业务部门创造了什么价值,特别是和公司营收相关的价值;是否有提升公司核心业务指标方面的贡献;是否有提升公司效率方面的贡献;是否有改善公司产品的体验的贡献;如果...
  • 软件安全测试之应用安全测试

    万次阅读 2015-03-02 21:26:51
    (如果你想从头开始一步步学习安全测试设计,请从我的上一篇文章开始一步步学习下去点击打开链接>,但如果因为工作进度很急,可以先跳过下面的”废话“直接参考总结好的测试方案) 说起安全测试,曾几何时在我心中...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 32,524
精华内容 13,009
关键字:

安全培训内容怎么写