2022年04月08日
之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多亏了上线之前有公司安全团队的人会对代码进行扫描,才让这个漏洞被扼杀在摇篮里。
下面我们就一起来看看这个事故,啊,不对,是故事。
背景说明
我们的项目是一个面向全球用户的 Web 项目,用 SpringBoot 开发
2022年04月08日
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,制定一部数据安全领域的基础性法律十分必要。28日,数据安全法草案初次提请十三届全国人大常委会第二十次会议审议。
数据安全已成为事关国家安全与经济社会发展的重大问题。草案按照总体国家安全观的要求,确立数据安全保护管理各项基本制度,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。
草案坚持安全与发展并重,规定支持、促进数
2022年04月08日
本文转载自微信公众号「虞大胆的叽叽喳喳」,作者虞大胆 。转载本文请联系虞大胆的叽叽喳喳公众号。
今天回忆下web开发安全问题,以前在新浪博客时,遇到最多的攻击是XSS和SQL注入攻击。
博客最核心的功能就是富文本发文,允许执行html语义标签,如果处理不当,就能执行js语句,导致各种的xss攻击。
那时候解析文章内容没有很好的dom解析库,堵住漏洞非常辛苦和被动。
另外攻击就是sql注入,破坏过一些表数据,但大范围的故障没有出现过。
这二个攻击在互联网刚开始的时候非常流行,最重要的原因就是它们
2022年04月08日
据外媒报道,包括iOS和iPadOS在所有平台上Bing由于来自开放服务器的移动应用程序用户面临风险TB等级用户信息被盗。Bing是微软的搜索引擎,iOS和Android手机应用的相关数据已在开放式服务器中找到。据报道,该服务器拥有超级超级6.5TB被发现后,数据仍在每天增长200GB的数据。白帽黑客组织WizCase该开放式服务器于9月12日被发现。该组织表示,该服务器在9月10日之前一直是安全的。服务器所有者被发现后,微软于9月13日收到警告。9月16日,微软安全响应中心保护开放式服务器。W