今天在进行支付宝开发时,看到支付宝开发文档《开放平台第三方应用安全开发指南》中关于数据库操作的安全性。特此记录! 1.数据库操作 (1)原则:用户密码存储须加盐存储,各用户盐值不同。 (2)原则:若涉及证件号等敏感信息的存储,须使用AES-128算法加密存储。 (3)编写的SQL必须预编译,不允许通 ...
分类:
数据库 时间:
2017-05-23 12:15:24
阅读次数:
203
1.Model1 javaBean+jsp:jsp直接操作数据库,不安全,开发维护复杂 2.Model2:MVC 原理:把Model1的操作javaBean操作抽取为控制层 实现:控制层使用servlet来实现,视图用jsp实现,模型用javaBean来实现 优点:彻底分离业务逻辑和表现逻辑,也就是 ...
分类:
编程语言 时间:
2017-05-15 21:01:10
阅读次数:
131
0x00 私有组件浅谈 android应用中,如果某个组件对外导出,那么这个组件就是一个攻击面。很有可能就存在很多问题,因为攻击者可以以各种方式对该组件进行测试攻击。但是开发者不一定所有的安全问题都能考虑全面。 ? 对于这样的问题,最方便的修复方式就是在确定不影响业务的情况下,将这个存在问题的组件不 ...
分类:
移动开发 时间:
2017-04-06 17:39:24
阅读次数:
272
第一个:OpenSSL C语言实现,整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。 作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功 ...
分类:
其他好文 时间:
2017-03-17 00:21:58
阅读次数:
222
16年年初跳槽到了一家做安全相关的公司,自从入职以来,就是解决各种难以想象难题,再也不能和小伙伴请教了,因为他们也觉得不可能嘛,每天都是沉浸在研究摸索和不确定中,最让人难以接受的是研究了好几天还是没有结果,最快乐的是解决了一个小问题,总之2016就是个五味杂陈的一年。 刚来到这个公司是各种的问题摆在 ...
分类:
其他好文 时间:
2017-01-22 12:37:08
阅读次数:
192
安全要求分为10类,分别是:——系统开发与供应链安全:云服务商应在开发云计算平台时对其提供充分保护,对为其开发信息系统、组件和服务的开发商提出相应要求,为云计算平台配置足够的资源,并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务..
分类:
其他好文 时间:
2017-01-03 13:51:34
阅读次数:
292
感谢某电商平台安全工程师feiyu跟我一起讨论这个漏洞的修复。以往在安全测试的过程中后台经常存在验证码不失效果造成的撞库问题,甚至在一些银行或者电商的登录与查存页面同样存在这个问题,一旦造成撞库无论对用户账号的安全性还是网站的负载都是巨大的挑战。其实造成问题的原因并不复杂,主要是研发在开发过程中缺少 ...
分类:
Web程序 时间:
2016-11-21 22:33:35
阅读次数:
253
第17章安全开发流程(SDL)17.1SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q安全要求明确项目的安全要求。q质量门/bug栏质量门和bug栏相当于..
分类:
Web程序 时间:
2016-10-09 00:42:45
阅读次数:
465
一、SElinux(SecureEnhancedLinux):安全增强的LinuxSElinux是一个在内核中实践的强制访问控制(MAC)安全性机制,由美国国家安全局NSA(TheNationalSecurityAgency)和SCC(SecureComputingCorporation的)开发的针对计算机基础结构安全开发的一个全新的Linux安全策略机制。..
分类:
系统相关 时间:
2016-09-18 21:20:17
阅读次数:
293
在过去几年WebView中被披露的重大漏洞包括了任意代码执行漏洞、跨域、密码明文保存等,这些安全问题可以直接导致用户敏感信息泄露,移动终端被恶意攻击者控制。下文将详细介绍这一系列安全问题,罗列相关的一些案列,并提供相应安全开发建议。 ...
分类:
移动开发 时间:
2016-09-05 19:06:53
阅读次数:
223
