标签归档：安全

十条关于 WordPress 安全性的小贴士 操作

发表于 2017-05-27 由 小样儿

回复

WordPress 本质上并没大家认为的那么危险，而且开发者也在努力工作，以确保危险漏洞能被快速修复。但不幸的是，WordPress 的成功使其成为众矢之的：如果你能攻破一个 WordPress 安装，那么可能会有数以百万计的网站向你 “开放”。而且即使 WordPress 是安全的，也并不是所有的主题和插件都会有同样级别的开发重视程度。

 
[......]

阅读全文

安全使用云存储，你需要正确的姿势

发表于 2016-07-16 由 小样儿

回复

最近，小编看了乌云君发布一篇漏洞报告《假如你娶了云存储，这些姿势以后就别用了》，一下子就震惊了。企业要安全上云，还需提高自身的安全修养，否则可能都不知道是怎么死的。

[......]

阅读全文

Apple Pay 来了，但是它安全么？

发表于 2016-02-18 由 小样儿

回复

经历一年多的等待后，Apple Pay今天终于在国内上线了。听说付款速度快的不行，挥挥手机就好了；还听说苹果是分批开放，好多人为了马上体验都在给手机改时区……折腾了一天的你，是否好奇过它背后的安全性呢？整个过程安全吗？苹果幕后又做了哪些不为人知的工作？[......]

阅读全文

如何安全的存储用户的密码

发表于 2016-02-15 由 小样儿

回复

大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生，所以我们必须采取一些措施来保护用户的密码，即使网站被攻破的情况下也不会造成较大的危害。[......]

阅读全文

保存好你的密码 —— 从芝麻金融被攻破说起

发表于 2016-01-28 由 小样儿

回复

昨天午休时，新浪上的一条新闻引起了我的注意。新闻中说，一家叫芝麻金融的P2P网站数据库泄露，并且数据库中所记录的密码仅经过一次哈希。虽 然说我不是攻破它的白帽，更没有仔细地研究这些泄露的数据，但如果报告所言不虚，其中所提及的各个问题实际上非常严重。因此我觉得有必要对如何在系统中保 存密码以及为什么要这样做进行一个简单的介绍。[......]

阅读全文

进入DT云时代的“数据安全”策略

发表于 2016-01-26 由 小样儿

回复

在开始介绍DT时代的“数据安全”策略之前有几个问题请大家思考：
1） 你所负责的企业最宝贵的资产除了钱还有什么， 是多年积累下来的“数据“吗？
2） 如果是数据，谁对保管这些资产负责？
3） 数据保管员，如何对“数据安全”负责？[......]

阅读全文

如何从代码层防御10大安全威胁中的Xpath Injection？

发表于 2016-01-07 由 小样儿

回复

本文转自OneAPM技术社区，系OneAPM架构师吕龙涛原创文章。[......]

阅读全文

20步打造最安全的Nginx Web服务器

发表于 2016-01-05 由 小样儿

回复

Nginx是一个轻量级的，高性能的Web服务器以及反向代理和邮箱 (IMAP/POP3)代理服务器。它运行在UNIX,GNU /linux,BSD 各种版本，Mac OS X,Solaris和Windows。根据调查统计，6%的网站使用Nginx Web服务器。Nginx是少数能处理C10K问题的服务器之一。跟传统的服务器不同，Nginx不依赖线程来处理请求。相反，它使用了更多的可扩展的事 件驱动（异步）架构。Nginx为一些高流量的网站提供动力，比如WordPress,人人网，腾讯，网易等。这篇文章主要是介绍如何提高运行在 Linux或UNIX系统的Nginx Web服务器的安全性。[......]

阅读全文

腾讯安全应急响应中心

发表于 2015-12-16 由 小样儿

回复

http://security.tencent.com/

后Redis服务器漏洞时代，这两条安全建议也许对在线存储用户有用

发表于 2015-11-14 由 小样儿

回复

近日，Redis服务器被曝漏洞。

黑客借助redis内置命令，可以对现有数据进行恶意清空。

此外，黑客可往服务器上写入SSH公钥文件，直接登录服务器。[......]

阅读全文

移动APP安全测试要点

发表于 2015-10-25 由 小样儿

回复

[......]

阅读全文

加强Nginx的SSL安全

发表于 2015-09-23 由 小样儿

回复

本文向你们展示如何在nginx的web服务器上设置更强的SSL。我们是通过使SSL无效来减弱CRIME攻击的这种方法实现。不使用在协议中易受攻击的SSLv3以及以下版本并且我们会设置一个更强的密码套件为了在可能的情况下能够实现Forward Secrecy，同时我们还启用HSTS和HPKP。这样我们就有了一个更强、不过时的SSL配置并且我们在Qually Labs SSL 测试中得到了A等级。[......]

阅读全文

如何设置安全密码？

发表于 2015-06-19 由 小样儿

回复

一、涉及到网上购物和支付宝付款，有以下4个相关密码：
[......]

阅读全文

服务器被黑给我上了一课

发表于 2015-05-27 由 小样儿

回复

当你作为一个独立开发者的时候总要面临这样那样的问题，以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心，前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? )，这次又遇到了服务器被黑。 [......]

阅读全文

Keywhiz：Square开源的秘钥管理系统

发表于 2015-04-30 由 小样儿

回复

Keywhiz是一个隐私管理分配系统，能很好地与SOA配合。

每个组织都有需要隐藏的服务或系统，比如：

• TLS证书/密钥
• GPG密钥
• API令牌
• 数据库证书

常见的措施包括将隐私放入代码的配置文件或者复制文件到out-of-band服务器中，前者泄露的可能性很大，而后者比较难以追踪。[......]

阅读全文

安全第一课

发表于 2015-03-10 由 小样儿

回复

开学了，我们又要上幼儿园咯！在幼儿园中不仅仅是让孩子们感受幼儿园的温馨、快乐，更重 要的还是能在游戏中保护自己，增强孩子们的安全意识，所以在开学的第一天我们就进行了《安全第一课》的教学活动，胡老师通过图片、案例以及情景再现等形式 形象生动地讲述了我们在家、在幼儿园和在户外的安全知识，大家也都认真地听着，有时会举手发言，有时会发出笑声，有时又会非常激动地说“这个行为是不对 的！”看到孩子们跃跃欲试地表现，我们的心理也非常开心，大家都知道一些安全知识，希望也能在我们游戏的时候更加的关注，这样才会更安全、更开心的在幼儿 园里生活。[......]

阅读全文

安全 攻击

发表于 2015-03-01 由 小样儿

回复

[......]

阅读全文

Web API入门指南 - 闲话安全

发表于 2015-02-25 由 小样儿

回复

Web API入门指南有些朋友回复问了些安全方面的问题，安全方面可以写的东西实在太多了，这里尽量围绕着Web API的安全性来展开，介绍一些安全的基本概念，常见安全隐患、相关的防御技巧以及Web API提供的安全机制。[......]

阅读全文

对抗假人——前后端结合的WAF

发表于 2015-02-18 由 小样儿

回复

前言

之前介绍了一些前后端结合的中间人攻击方案。由于 Web 程序的特殊性，前端脚本的参与能大幅弥补后端的不足，从而达到传统难以实现的效果。

攻防本为一体，既然能用于攻击，类似的思路同样也可用于防御。如果将前端技术结合到传统的 WAF 中，又能有如何的改进？[......]

阅读全文

AppScan使用分享

发表于 2015-02-17 由 小样儿

回复

http://www.cnblogs.com/fnng/archive/2012/10/09/2717568.html
这里主要分享如何使用AppScan对一大项目的部分功能进行安全扫描。[......]

阅读全文