一、什么是Web应用防火墙？ Web应用防火墙对网站、APP的业务流量安全及合规性保护，对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理， 将正常安全的流量回源到业务服务器， 保护网站核心业务和数据安全。 京东云Web应用防火墙的产品架构示意图如下： 二、Web攻击常见的检测手段？ Web攻击常见的三种检测手段，规则检测、AI检测或语义检测。 1.规则检测：效率高、识别精准度高。其表现形式是正则表达式，通过正...

引言 如果您仔细分析过任何一个网站的请求日志，您肯定会发现一些可疑的流量，那可能就是爬虫流量。根据Imperva发布的《2023 Imperva Bad Bot Report》在2022年的所有互联网流量中，47.4%是爬虫流量。与2021年的42.3%相比，增长了5.1%。在这些爬虫流量中，30.2%是恶意爬虫，比2021年的27.7%增长了2.5%。 从国内外公开的数据中可以得出，恶意爬虫几乎出现在各个行业，无论是传统行业、泛互联网，还是政企、金融等，都各种程度遭受...

当用户充分利用原生云能力进行应用设计、部署和运维时，云原生也面临新的安全挑战，例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。 面对这样的风险，京东云重磅发布云原生安全平台，包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务，提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。 直击痛点打造一体化防护 每年的京东6.18、11.11都会面临高并发、大流量的技术挑...

# **一、背景** 数据安全法实施后，国家监管部门加强了对企业数据安全的监管力度。在这个大的背景下，为保障物流体系系统安全，提前规避安全风险，由测试组牵头制定安全测试流程规范并持续推进安全测试常态化。 # **二、安全漏洞的类型及危害** ### 1、常见安全漏洞类型 越权类漏洞、上传漏洞、XSS漏洞、CSRF漏洞、SQL注入漏洞、任意文件读取漏洞、反序列化漏洞、CORS漏洞、SSRF漏洞、URL调整漏洞等 ### 2、安全漏洞危害 1\. 信...

## 本周安全态势综述 OSCS 社区共收录安全漏洞 3 个，公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272)。 针对 NPM 、PyPI 仓库，共监测到 81 个不同版本的毒组件，其中 NPM 组件包 mall-front-babel-directive 等携带远控木马，该系列的组件包具有持续性威胁行为 。 ## 重要安全漏洞列表 ...

译｜王祖熙 *（花名：金九 )* 蚂蚁集团开发工程师 *负责国产化密码库 Tongsuo 的开发和维护* *专注于密码学、高性能网络、网络安全等领域* **本文 9658 字 阅读 20 分钟** 本文翻译 OpenSSL 官网文档： Tongsuo-8.4.0 是基于 OpenSSL-3.0.3 开发，所以本文对 Tongsuo 开发者同样适用，内容丰富，值得一读！ 由于文章篇幅较长，今天带来的是 **《FIPS模块》** 部分内容，已发布文章《介绍、术语与架构》、《Core 和 Provider 设计...

1. 什么是数据脱敏 1.1 数据脱敏的定义 数据脱敏百度百科中是这样定义的： 数据脱敏，指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据...

在 Web 安全中，服务端一直扮演着十分重要的角色。然而前端的问题也不容小觑，它也会导致信息泄露等诸如此类的问题。在这篇文章中，我们将向读者介绍如何防范Web前端中的各种漏洞。【万字长文，请先收藏再阅读】 首先，我们需要了解安全防御产品已经为我们做了哪些工作。其次，我们将探讨前端存在哪些漏洞，并提供相应的防范思路。 一、安全防御产品 安全防御产品一般有： 传统互联网公司的安全防御体系，类似于一个空气净化模型...

译｜王祖熙（花名：金九 ) 蚂蚁集团开发工程师 *负责国产化密码库 Tongsuo 的开发和维护**专注于密码学、高性能网络、网络安全等领域* **本文 4830 字 阅读 13 分钟** 本文翻译 OpenSSL 官网文档： Tongsuo-8.4.0 是基于 OpenSSL-3.0.3 开发，所以本文对 Tongsuo 开发者同样适用，内容丰富，值得一读！ 由于文章篇幅较长，今天发布的是**介绍**、**术语**和**架构**三部分内容，后续内容将随每周推送完整发布，请持续关注铜锁公...

摘要： CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的，以获取前两个日历年 CWE 弱点的根本原因映射。 本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》，作者： Uncle_Tom 。 CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的，以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、...

一、为什么要做一款这样的小插件 数据，一直在思考如何让数据更安全的流转和服务于客户，围绕这样的想法，我们做过许多方面的扩展。我们落地了服务端的数据切片支持场景化的设计，实现了基于JDBC协议对SQL的拦截与切片，实现了在应用层的全链路数据库审计方案和实现，实现了WEB端明暗水印和文档水印等等，但这些都是在应用服务端的改造；那么围绕以上服务端的思想产生了在端上做一些事情，分析了集团内部服务，多以WEB服务端对客...

开源软件在数据中心、消费者设备和应用程序中无处不在。使用开源代码已经成为软件开发的新常态，统计显示，一个软件平均有 90% 的代码源自开源，保证开源供应链安全已经远超出了一般开发者的能力。开源安全需要业界共同联手，为行业打造自动化工具、总结最佳实践、推动安全教育和鼓励开源安全协作。 5 月 28 日，GOTC 2023 “开源安全”专题论坛将于上海张江科学会堂举行。该论坛由 Linux 基金会亚太区副总裁杨轩担任出品人。在...

全球开源技术峰会（Global Open-source Technology Conference） GOTC 2023 由开放原子开源基金会、 Linux 基金会亚太区、上海浦东软件园和开源中国联合发起， 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 这场面向全球开发者的盛大开源技术盛宴，堪称 2023 年开源风向标。大会将以行业展览、主题发言、专题论坛、开源市集的形式展现，与会者将一起探讨元宇宙、3D 与游戏、eBPF、Web3.0、区块链等热门技术主题，以及开...

报名注册倒计时，错过等一年！ 全球开源技术峰会（Global Open-source Technology Conference） GOTC 2023 由开放原子开源基金会、 上海浦东软件园、Linux 基金会亚太区和开源中国联合发起， 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 大会报名通道： https://www.bagevent.com/event/8387611 为期 2 天的开源行业盛会，将以行业展览、主题发言、论坛、圆桌、快闪演讲、开源市集等形式来诠释此次大会主题 ——“Ope...

eBPF 的全称是 extended Berkeley Packet Filter，它被称之为“革命性”的内核技术，可以在 Linux 内核中运行沙盒程序，而无需更改内核源代码或加载内核模块。它提供了一种通用执行引擎，可以基于系统或程序事件高效安全地执行特定代码，就像在实时 （JIT） 编译器和验证引擎的帮助下进行本机编译一样。 如今，eBPF 被广泛用于各种场景：在现代数据中心和云原生环境中提供高性能网络和负载平衡，以低成本提取细粒度的安全可观测...

作者：京东物流 陈维 一、引言 本文我们将以围绕系统安全质量提升为目标，讲述在功能安全测试&安全渗透测试上实践过程。 希望通过此篇文章，帮助大家更深入、透彻地了解安全测试。 二、安全渗透测试实践 安全前置扫描主要是识别白盒漏洞、黑盒漏洞问题，针对JSRC类问题，需要通过渗透测试进行漏洞发现。 1.安全测试类别 安全测试根据开展的阶段不同，测试对象不同，可以分为：功能安全测试、安全渗透测试。 以下是两者定义、两者...

作者：京东物流 陈维 一、引言 G.J.Myers在《软件测试的艺术》中提出：从心理学角度来说，测试是一个为了寻找错误而运行程序的过程。 那么安全测试则是一个寻找系统潜在安全问题的过程，通过测试手段发现系统中可能存在的安全问题和风险，分析并进行优化，保障系统的安全质量。 从应用安全维度出发，展开系列安全测试工作，包括不限于：安全前置扫描、安全渗透测试、数据安全、SDL流程引入等。 本文我们将以围绕系统安全质量提升...

作者：京东工业 宛煜昕 扫雷游戏相信很多人都从小玩过，在那个电脑游戏并不多的时代，扫雷成为玩的热度蛮高的一款游戏之一，然而就在有一次，接触到了一次不寻常的扫雷过程，使得后来我也有了这个冲动，也来做一次。通过动态调试，逆向和C来写一个扫雷辅助工具从而提高逆向与编码技能。 动态调试（分析） 首先进行扫雷程序的动态调试（分析）： 打开OD（ollydebug工具），把扫雷拖放到OD中，F9运行；ctrl+G输入要跟随的表达式，...

作者：京东云 刘一鑫 1 背景 随着网络攻击事件整体呈上升趋势，应用作为网络入口承载着大量业务和流量，因此成为了安全的重灾区。黑客往往借助自动化的工具以及安全漏洞，对Web进行漏洞扫描和探测，进而利用漏洞攻击，达到窃取Web应用的敏感数据或者入侵服务器的目的，这大大加剧了应用面临的安全风险。以前一段时间出现的log4j2漏洞为例、这是近十年来最严重的漏洞，由于使用广泛和漏洞利用简单，影响70%以上的企业线上业务系统...

原文作者：Owen Garrett of F5 原文链接：如何在 NGINX 中安全地分发 SSL 私钥 转载来源：NGINX 官方网站 NGINX 唯一中文官方社区 ，尽在 nginx.org.cn 本文介绍了 SSL 加密网站使用 NGINX 时可采用的几种安全分发 SSL 私钥的方法。本文讨论了： 使用 NGINX 配置 SSL 的标准方法，以及潜在的安全限制 如何使用与 NGINX 配置分开存储的密码加密密钥 如何安全地分发加密密码，从而避免存储到磁盘上，并按需撤销磁盘存储 对于多数的...