扫描漏洞
Windows系统漏洞 Web-CMS漏洞 应急漏洞 应用漏洞 开启或关闭应用漏洞检测。YUM/APT源配置 开启或关闭优先使用阿里云源进行漏洞修复。在修复Linux软件漏洞时都需要配置正确的YUM或APT源。如果YUM或APT源配置不正确,会导致漏洞修复失败。...
计算机型号及浏览器版本常见问题
本文介绍由于计算机型号及浏览器版本的原因导致DataV产品使用卡顿的问题现象及解决方法。MacBook用户编辑器卡顿问题 问题现象 当您使用MacBook时,打开DataV编辑页面之后使用卡顿...将Chrome版本回退到79及以下版本,并关闭版本自动更新功能。
计算机型号及浏览器版本常见问题
本文介绍由于计算机型号及浏览器版本的原因导致DataV产品使用卡顿的问题现象及解决方法。MacBook用户编辑器卡顿问题 问题现象 当您使用MacBook时,打开DataV编辑页面之后使用卡顿...将Chrome版本回退到79及以下版本,并关闭版本自动更新功能。
自定义动作
closed:强制关闭(不继续执行也不回滚)。fail:其他情况异常终止。completeTime 切流结束时间。changeTokenRange 当范围类型切流时,切流变更的范围区间。当非范围类型切流时,值为空字符串("")。格式:[$区间开始,$区间结束],其中[]...
配置检查项
检查项:用于任务提交发布前的管控治理,主要校验提交发布前的规范性,拦截存在问题,预防治理问题的引入。治理项:用于任务提交发布后的分析环节,检测系统存在的待治理优化问题,提升数据的健康程度。说明 DataWorks的工作空间区分标准...
产品使用FAQ
如何关闭短信服务?短信服务无法直接关闭。如果您不需要使用短信服务。请参考以下两种方式:在 RAM访问控制,AccessKey管理 页面禁用或删除当前存在的AccessKey,停止短信接口调用。在 短信控制台,签名管理 和 模板管理 页面,删除短信...
CreateDefenseRule-创建防护规则
取值:0:表示关闭。1(默认):表示开启。action String 必选 block 防护规则动作。取值:block:表示拦截。monitor:表示观察。policyId Long 可选 1012 防护规则组 ID。默认为中等规则组 1012。protectionType String 可选 sema 防护...
设置网页防篡改规则避免网页被篡改
当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。本文介绍如何创建网页防篡改规则模板并添加防护规则。使用限制 混合云接入、云产品接入(MSE、FC 或SAE)的防护对象暂不支持该功能。前提条件 已开通WAF 3...
调整执行计划
功能介绍 执行计划管理SPM(SQL Plan Management)是一种预防性机制,可以使优化器自动管理执行计划,确保数据库仅使用已知或经过验证的计划。Outline是SPM的子集,仅支持固定执行计划,不支持演进执行计划。目前PolarDB的Outline功能仅...
安全中心
企业安全中心提供了数据安全评分和安全风险事件提醒功能,及时检测企业代码资产的安全状态,实现安全预防、风险检测、主动防御的全方位保护。安全总览分为两个部分:安全评分和安全分析。安全评分 安全评分通过备份与恢复、安全与加密、...
应急响应服务
什么是应急响应服务 背景信息 安全管家的应急响应服务基于阿里巴巴多年的安全攻防实战技术能力和管理经验,参照国家信息安全事件响应处理相关标准,在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7*24远程...
多轮对话搜索API
open:开启对话 message:模型输出 error:错误 control:其它信息 close:消息输出完毕,关闭对话*open 示例*id:system event:open data:"success"retry:3000*control 示例*id:F00D6F02-7F4D-4DE9-88AA-AEDAD507ED86 event:control data:{...
钓鱼邮件防护安全指南
本文主要介绍如何识别钓鱼邮件及防范措施。...骗子惯用的钓鱼邮件招数:1、盗用官网图片,伪造知名域名或公司域名,甚至完全盗用官网或用户常用联系人的特定信息,仿冒可信邮件。...“您参加的双11购物狂欢节,中奖一部iphone6,请提交个人信息,...
捕获内核的内存污染问题(KFENCE)
您可以运行以下命令,禁用order 0单页监控来预防此问题。sudo grubby-update-kernel=boot/vmlinuz-$(uname-r)-args="kfence.order0_page=0"基本概念 KFENCE功能中涉及的基本概念说明如下。名词 说明 内存污染 指在程序运行过程中,内存区域...
抛出“https Status 403 - Invalid CSRF Token '1695...
问题描述 本文主要描述了Quick BI编辑数据集的行级权限时候,抛出异常“https Status 403 - Invalid CSRF Token '1695c7bb-3e38-48b7-8dd4-8e394d42449b' was found on the request parameter '_csrf' or header 'X-Csrf-Token'.”的解决...
Redis CSRF漏洞分析及云数据库Redis版安全措施介绍
本文介绍 Redis 的CSRF漏洞是如何发生的,同时介绍 云数据库 Redis 版 的安全措施。CSRF介绍 CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意...
Web客户端漏洞类型
跨站点请求伪造(CSRF)跨站点请求伪造(Cross Site Request Forgery,简称CSRF)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。常见...
DescribeAttackAnalysisData-查询攻击分析的数据
sqli:SQL 注入 codei:代码执行 xss:XSS 攻击 lfi:本地文件包含 rfi:远程文件包含 webshell:脚本木马 upload:上传漏洞 path:路径遍历 bypass:越权访问 csrf:CSRF crlf:CRLF other:其他 {"crack_type":"9"} Base64 string 否 ...
漏洞等级说明
中危 基础分为30~50,中危等级漏洞包括:需交互方可影响用户的漏洞,包括但不限于一般页面的存储型跨站脚本攻击漏洞,涉及核心业务的跨站请求伪造(CSRF)漏洞等。普通越权操作,包括但不限于绕过限制修改用户资料、执行用户操作等。普通的...
附件四:常见漏洞危害及定义(先知计划)
跨站点请求伪造(CSRF)名词解释 跨站点请求伪造(CSRF,Cross Site Request Forgery)。由于重要操作的所有参数都是可以被攻击者猜到,攻击者即可伪造请求,利用用户身份完成攻击操作,如发布文章、购买商品、转账、修改资料甚至密码等。...
附件二:众测漏洞定级标准(先知安全情报)
包括但不仅限于存储型XSS、涉及核心业务的CSRF等。平行越权操作。包括但不限于绕过限制修改用户资料、执行用户操作等。由验证码逻辑导致任意账户登录、任意密码找回等系统敏感操作可被爆破成功造成的漏洞。本地保存的敏感认证密钥信息泄露...
API返回码
isv.CSRF_CHECK_FAILED csrf Token检查失败 失效的或非法的Token参数,建议检查Token参数是否正确。isv.ACCOUNT_NOT_EXISTS 账户不存在 请检查账号是否正确。isv.ACCOUNT_ABNORMAL 账户异常 请检查账号状态是否正常。isv.ACCESS_CODE_...
漏洞管理
代码漏洞扫描 Dataphin通过安全团队提供的白盒扫描工具进行产品的安全审核,安全审核包括128个大项,932个小项,已全面覆盖包括CSRF注入、config配置文件泄露、SQL注入、SSRF漏洞、URL跳转漏洞、任意文件读取、命令执行、越权漏洞、反序列...
常见问题
Redis CSRF漏洞分析及云数据库Redis版安全措施介绍 云数据库Redis集群版与原生Redis集群版有什么区别?网络与连接 如何获取Redis实例的连接地址和实例ID 如何通过redis-cli连接Redis 云数据库Redis版支持Jedis等通用的Redis客户端吗?连接...
DescribeVulDetails-查询漏洞详情
查询漏洞详情。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中...NewDomain....
HTTPS相关常见问题
为了假冒用户的身份,CSRF攻击和XSS攻击通常会相互配合,但也可以通过其它手段,例如诱使用户单击一个包含攻击的链接。Http Heads攻击:使用浏览器查看任何Web网站,无论您的Web网站采用何种技术和框架,都用到了HTTP协议。HTTP协议在...
如何实现OAuth登录
这些措施可以有效防止CSRF攻击和机器人攻击。做好防火墙和安全组的配置。可以通过配置防火墙和安全组,限制只有在特定条件下才可以访问OAuth提供方的API。此外,需要及时更新安全组和防火墙规则以应对新的安全威胁。注意模型和逻辑流的调用...
阿里云黑洞策略
本文介绍如何预防和处理黑洞。如何预防黑洞?资产的DDoS防御能力越大,则其被DDoS攻击导致触发黑洞的可能就越低。因此,只有提升资产的DDoS防御能力(即黑洞阈值),才可以从根本上预防黑洞。您可以通过以下方式提升资产的DDoS防御能力:...
OAuth常用的SDK示例
本文基于Spring Boot OAuth2和Pac4J,为您介绍OAuth常用的SDK示例的相关配置。Spring Boot OAuth2示例 参考 Spring Boot and OAuth2 文档及示例,主要做以下两点修改:配置文件改为阿里云对应的配置。...修改 OAuth2...
什么是Web应用防火墙
Web应用安全防护 常见Web应用攻击防护 防御OWASP常见威胁:SQL注入、XSS跨站、WebShell上传、后门攻击、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、CSRF、核心文件非授权访问、路径穿越、网站被扫描等。网站隐身:不对攻击者暴露...
什么是Web应用防火墙
Web应用安全防护 常见Web应用攻击防护 防御OWASP常见威胁:SQL注入、XSS跨站、WebShell上传、后门攻击、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、CSRF、核心文件非授权访问、路径穿越、网站被扫描等。网站隐身:不对攻击者暴露...
Web应用登录阿里云
state 否 应用通过 state 参数实现多种目的,例如:状态保持、作为nonce使用从而减少CSRF威胁等。state 如果设置为任意字符串,阿里云OAuth2.0服务会将请求中的 state 参数及取值原样放到返回参数中以供后续使用。prompt 否 该参数用于指定...
重保应急原则
注马攻击 云内主机被注马属于云上用户应用端带来的风险,目前不在阿里云基础设施管理范畴,需要用户允许在其应用内提前部署必要的安全产品与策略才可达到预防效果,阿里云正在紧急通知各重保单位开始共同采取预防方案,并同时制定应急响应...
使用限制
在云安全中心提供的防御能力以外,建议您定期更新服务器安全系统补丁、配合使用云防火墙、Web应用防火墙等产品缩小网络安全威胁的攻击范围,实时预防,不让黑客有任何可乘之机。已安装云安全中心Agent的服务器重新启动后,云安全中心的防御...
应用安全
服务器被入侵 5 SQL注入 敏感数据大批量泄露 拖库 6 任意URL重定向 钓鱼 诈骗 敏感信息泄露 7 XSS(跨站脚本攻击)登录仿冒 敏感信息泄露 敏感操作执行 8 CSRF(客户端请求伪造攻击)敏感操作执行 9 登录接口爆破 服务器入侵
自定义域名
重要 IDaaS 团队将全力保障您实例的安全性,但理论上如果攻击者对您的 IDaaS EIAM 实例成功实施 XSS 攻击,将可能导致向同一域名下的不同子域名发起 CSRF 攻击。因此我们建议屏蔽从自定义域名发起的 CORS 请求,或者使用独立的一级域名作为...
健康检查服务内容说明
针对隐患与问题,给出专业的解决方案,让客户全面掌握系统运行情况,并提前做好预防和加固,避免因产品架构问题影响业务的持续性。2.服务范围 2.1 健康检查服务范围 服务范围包含:阿里云基于客户业务系统和应用的架构现状和预期目标,通过...
Quick BI 内网环境的报表通过Nginx代理嵌入到外网环境...
只有api/v2/component/list报“403 Forbiden”错误:问题原因 api/v2/component/list是一个POST接口,会在应用侧进行CSRF校验,在客户侧系统网络转发的时候被跨域拦截导致。解决方案 需要联系Quick BI后台技术人员将api/v2/component/list...
显示加载中
代码示例 显示/隐藏全局加载框:点击以下按钮看不同效果</h1><p>注意安卓下显示 loading 后,会覆盖整个界面,所以请使用系统回退键关闭 loading</p><a href="javascript:void(0)"class="btn show">显示 loading</a><a href="javascript:...
Native应用登录阿里云
state 否 应用通过 state 参数实现多种目的,例如:状态保持、作为nonce使用从而减少CSRF威胁等。state 如果设置为任意字符串,阿里云OAuth 2.0服务会将请求中的 state 参数以及取值原样放到返回参数中以供后续使用。code_challenge_method...
- 产品推荐
- 这些文档可能帮助您