因本周行业内公司出现了严重的系统安全事件，很多投资人和商家都来询问有赞，有赞有没有这样的问题，有赞是如何做系统稳定和安全管理的？花心思做好这个事情要多少成本？基于大家的疑虑和担忧，我们觉得有责任和大家就“系统稳定与安全机……

阅读全文

一、 背景 随着信息化进入3.0阶段，越来越呈现出万物数字化、万物互联化，基于海量数据进行深度学习和数据挖掘的智能化特征。数据安全正式站在了时代的聚光灯下，隆重登场。计算机行业的安全是一个由来已久概念，我们比较认可雷万云博士……

阅读全文

hadoop安全设计 hadoop安全机制基于kerberos实现，支持hadoop各组件间的认证、用户认证、数据传输安全、作业管理认证等功能，hadoop组件众多，每个组件在基于kerberos认证时都有各自的考虑，因此……

阅读全文

linux系统安全主要从账号安全控制、系统引导和登录控制的角度，来进行Linux系统安全优化。并且使用辅助工具来查找安全隐患，以便我们及时采取相应的措施。 账号安全 1、 系统各种冗余账号，如"games"……

阅读全文

Web安全基础 了解Web安全事件 常见Web漏洞 Web服务器安全加固 Mysql数据库安全 安全工具使用 常用的安全工具 BurupSite 游览器插件 Fiddler Sqlmap Web 漏洞扫描工具 Nessus Appscan Wscan WebCruiser Nmap Metasploit 渗透平台 Web安全攻防 DVWA靶机平台 SQL注入进阶（绕过） 前端 安……

阅读全文

SQL注入漏洞 文件上传漏洞 CSRF漏洞 URL跳转漏洞 XSS漏洞……

阅读全文

身份认证 暴力破解、撞库、扫号、恶意锁定 暴力破解 是什么？ 攻击者使用自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。 攻击场景 利用自动化工具，如BurpSuite工具的Intruder模块 怎么修复？ 使用图形验证码 设置……

阅读全文

会话管理 常见的攻击方式 会话预测 会话固定 会话劫持 怎么防御？ 使用口碑较好的web应用开发工具提供的会话管理机制 用户登陆更改Session ID 敏感信息传输 GET方式泄露 敏感数据脱敏 也称为数据混淆、数据保密、数据消毒 传输安全 传输风……

阅读全文

权限管理 越权 未授权访问 水平越权 垂直越权 解决方案 服务端鉴权（根本） 通过session校验用户身份 降低风险的措施 设计用户ID、订单ID等标识为不可猜测的数据序列 后端使用加密算法对ID进行加密，前端操作的时候，直接提交该加密串……

阅读全文

Web安全原则 1.认证模块必须采用防暴力破解机制，例如：验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明：如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可配置，支……

阅读全文