如何实现OAuth登录
这些措施可以有效防止CSRF攻击和机器人攻击。做好防火墙和安全组的配置。可以通过配置防火墙和安全组,限制只有在特定条件下才可以访问OAuth提供方的API。此外,需要及时更新安全组和防火墙规则以应对新的安全威胁。注意模型和逻辑流的调用...
WAF接入配置最佳实践
将网站域名接入 Web应用防火墙(Web Application Firewall,简称WAF),能够帮助您的网站防御OWASP TOP10常见Web攻击和恶意CC攻击流量,避免网站遭到入侵导致数据泄露,全面保障您网站的安全性和可用性。您可以参考本文中的接入配置和防护...
DDoS高防接入配置最佳实践
判断攻击类型:当DDoS高防同时遭受CC攻击和DDoS攻击时,您可以查看 DDoS高防管理控制台 的 安全总览 报表(具体操作,请参见 安全总览),根据攻击流量信息判断遭受的攻击类型:DDoS攻击类型:在 实例 防护报表中有攻击流量的波动,且已...
Redis CSRF漏洞分析及云数据库Redis版安全措施介绍
上图为CSRF攻击的一个简单模型:用户访问恶意网站A,恶意网站A返回给用户的HTTP信息中要求用户访问网站B,而由于用户和网站B之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。Redis CSRF攻击模型 根据上面CSRF的原理,...
功能特性
中间件 采集中间件信息,便于您了解资产中存在的中间件信息。数据库 采集数据库信息,便于您了解资产中存在的数据库信息。Web服务 采集Web服务的信息,便于您了解资产中存在的Web服务。软件 清点软件安装信息,在高危漏洞爆发时可快速定位...
DescribeAttackAnalysisData-查询攻击分析的数据
211:蠕虫病毒请求 61:超时攻击 20:路径穿越攻击 xss:XSS 攻击 22:越权访问攻击 21:扫描攻击 24:文件修改攻击 26:文件删除攻击 25:文件读取攻击 28:CRLF 注入攻击 27:逻辑错误 29:模板注入攻击 csrf:CSRF path:路径遍历 crlf...
新功能发布记录
功能描述 发布地域 相关文档 Swagger 导入增加API筛选 Swagger 导入增加API筛选能力 全部 支持不同实例绑定同一个域名 支持在不同实例下绑定相同的域名 全部 2020-12 功能名称 功能描述 发布地域 相关文档 防止CC攻击 流量控制插件针对IP、...
更新记录
本文介绍云·速成美站的产品更新记录。2024年3月 发布时间 更新分类 功能名称 功能描述 发布地域 相关文档 2024.3.15(3.3.0)功能新增 开发者模式 支持绑定ECS,实现独立部署 全部 开发者模式 2024.3.29(3.3.1)功能修复 文章详情 修复在文章...
什么是HTTPS加速网关
操作门槛高 部署证书需要具备一定的中间件部署能力,例如签发证书后,需要部署到对应的服务器上,因此需要了解Nginx、Tomcat等中间件的证书部署流程。更新证书运维压力大 付费证书有效期为12个月,免费证书有效期仅为3个月,且证书到期后...
Web客户端漏洞类型
验证码是对抗CSRF攻击最简单有效的方法,但会影响用户的使用体验,并且不是所有的操作都可以添加验证码防护。因此,验证码只能作为辅助验证方法。通用防护方法:添加足够随机的CSRF_TOKEN并每次更新,以防止参数被猜解。使用CSRF_TOKEN是...
附件四:常见漏洞危害及定义(先知计划)
验证码是对抗CSRF攻击最简单有效的方法,但会影响用户的使用体验,并且不是所有的操作都可以添加验证码防护。因此,验证码只能作为辅助验证方法。通用防护方法:添加足够随机的csrf_token并每次更新,以防止参数被猜解。使用CSRF_token是...
HTTPS相关常见问题
为了假冒用户的身份,CSRF攻击和XSS攻击通常会相互配合,但也可以通过其它手段,例如诱使用户单击一个包含攻击的链接。Http Heads攻击:使用浏览器查看任何Web网站,无论您的Web网站采用何种技术和框架,都用到了HTTP协议。HTTP协议在...
入侵防御原理介绍
Web漏洞攻击:包括SQL注入、XSS攻击、CSRF攻击、RCE漏洞等。攻击者利用应用程序或网站的漏洞,非法访问目标系统、篡改数据或窃取信息。四层漏洞攻击:包括对四层网络协议漏洞的攻击。数据库攻击:包括对Redis、MySQL等数据库的攻击。命令...
自定义域名
重要 IDaaS 团队将全力保障您实例的安全性,但理论上如果攻击者对您的 IDaaS EIAM 实例成功实施 XSS 攻击,将可能导致向同一域名下的不同子域名发起 CSRF 攻击。因此我们建议屏蔽从自定义域名发起的 CORS 请求,或者使用独立的一级域名作为...
ADP底座技术白皮书
安全 ADP底座有非常完善的安全认证机制,主要包括以下几方面:镜像安全漏洞扫描:ADP底座集成的所有组件,都在集成之前进行了镜像安全漏洞扫描,最大程度地防止从容器层面受到不法攻击。运维平台权限控制:ADP-Local提供了单点登录、功能...
安全告警概述
可疑 该告警所描述的行为,对您的资产有破坏性或者持久性的影响,但该行为可能与部分运维行为较为相似,例如“可疑的添加用户行为”等,或者该告警所描述的行为是攻击路径上的非必经路径,即使缺失这些行为也不影响攻击者达到其目的,例如...
什么是Web应用防火墙
攻击事件管理 支持对攻击事件、攻击流量、攻击规模的集中管理统计。灵活性、可靠性 支持负载均衡:以集群方式提供服务,多台服务器负载均衡,支持多种负载均衡策略。支持平滑扩容:可根据实际流量情况,缩减或增加集群服务器的数量,实现...
什么是Web应用防火墙
攻击事件管理 支持对攻击事件、攻击流量、攻击规模的集中管理统计。灵活性、可靠性 支持负载均衡:以集群方式提供服务,多台服务器负载均衡,支持多种负载均衡策略。支持平滑扩容:可根据实际流量情况,缩减或增加集群服务器的数量,实现...
资产识别
由于无人管理,“僵尸”资产往往使用了低版本的开源系统、组件、Web框架等,导致一些薄弱环节暴露在攻击者的视野下,攻击者可以利用这些站点作为“跳板”,绕过企业的网络边界防护,进而使得整个企业内网沦陷。WAF资产识别功能通过获取阿里...
应用安全
应用程序及相关数据作为承载云上业务的主体,一方面蕴含了重大业务价值,另一方面应用上云后云上攻击的成本和实施门槛大大降低,更易受到恶意访问,因此保证应用程序及相关数据的机密性、完整性和可用性对于云上业务平稳、安全地运行十分...
防御挂马攻击最佳实践
什么是挂马攻击 挂马攻击也称为马式攻击(Horse Attack),是指攻击者通过各种手段,在目标服务器或网站中植入恶意程序,以获取系统权限或窃取敏感信息的攻击方式。攻击者通常会使用iframe框架挂马、JS挂马、Body挂马、隐蔽挂马、CSS挂马等...
通用软件漏洞收集及奖励计划第四期
漏洞定义 攻击者通过操纵某些数据,使得程序偏离设计者的逻辑,进而引发的安全问题。阿里云先知漏洞平台主要收集应用软件和建站系统程序漏洞。收集的漏洞类型定义 我们关注的漏洞类型分为几个评价维度,包括:权限要求:pre-auth:认证前...
安全服务
安全漏洞管理服务 安全管家提供包括操作系统漏洞、应用中间件漏洞、代码漏洞等在内的安全漏洞管理服务,安全专家通过工具扫描探测和人工发现的方式去发现不同层面安全漏洞。安全专家从漏洞发现到漏洞修复全流程跟踪,帮助您做好漏洞修复...
阿里云电子政务云产品全家福
阿里云电子政务云平台提供弹性计算类、网络、数据库、存储、大数据、中间件、IoT等品类丰富的产品及高标准的安全合规服务,用以支撑多种政务类业务场景,例如:城市大脑,合规应用平台等。截至文档发布时间,阿里云电子政务云共计上线95款...
横向网关产品特性汇总
产品定位 语言栈 云原生网关 基于Envoy构建,将传统流量网关、微服务网关和安全网关三合一,通过硬件加速、WAF本地防护和Wasm插件市场等功能,构建一个低成本、高性能、高扩展、高集成的网关中间件。原生支持K8s Ingress标准,兼容Nginx ...
CreateDefenseRule-创建防护规则
config 详细配置 protectionType 配置为 sema 时(基础防护规则配置为语义防护)名称 类型 是否必选 示例值 描述 nonInjectionSql Integer 必选 1 非注入型攻击检测状态。取值:0:表示关闭。1(默认):表示开启。示例 {"DefenseScene":...
通过OpenTelemetry上报Python应用数据
You must set settings.ALLOWED_HOSTS if DEBUG is False.,但 AutoAndManualDemo/AutoAndManualDemo/settings.py 中的 DEBUG 和 ALLOWED_HOSTS 均已配置正确,这是因为使用opentelemetry-instrument启动时使用了Django框架的默认配置文件...
通过OpenTelemetry上报Python应用数据
You must set settings.ALLOWED_HOSTS if DEBUG is False.,但 AutoAndManualDemo/AutoAndManualDemo/settings.py 中的 DEBUG 和 ALLOWED_HOSTS 均已配置正确,这是因为使用opentelemetry-instrument启动时使用了Django框架的默认配置文件...
漏洞管理
代码漏洞扫描 Dataphin通过安全团队提供的白盒扫描工具进行产品的安全审核,安全审核包括128个大项,932个小项,已全面覆盖包括CSRF注入、config配置文件泄露、SQL注入、SSRF漏洞、URL跳转漏洞、任意文件读取、命令执行、越权漏洞、反序列...
扫描漏洞
Zabbix Web控制台暴力破解 OpenSSL心脏滴血检测 Apache Tomcat WEB-INF配置文件未授权访问 应用漏洞Web扫描器IP地址说明 云安全中心扫描应用漏洞时,会通过公网模拟黑客入侵攻击(只发送请求报文,不会执行任何实际上的攻击行为),对您的...
供应链漏洞验收及奖励标准
CVSS漏洞评级标准计算器 基础分类型 基础分值名 基础分值数 攻击方式(AV)远程网络(N)相邻网络(A)本地攻击(L)物理方式(P)0.85 0.62 0.55 0.2 攻击复杂度(AC)低(L)高(H)0.77 0.44 权限要求(PR)无(N)低(L)高(H)0.85 0...
Native应用登录阿里云
state 否 应用通过 state 参数实现多种目的,例如:状态保持、作为nonce使用从而减少CSRF威胁等。state 如果设置为任意字符串,阿里云OAuth 2.0服务会将请求中的 state 参数以及取值原样放到返回参数中以供后续使用。code_challenge_method...
基本概念
本地提权 本地提权漏洞是指攻击者在实施网络攻击时获得了系统最高权限,从而取得对网站服务器的控制权。黑客利用该漏洞可突破安全防御系统,直接威胁用户的系统和数据安全。代码执行 代码执行是指攻击者可能会利用漏洞,在服务器上执行恶意...
应用防护FAQ
应用防护功能目前仅支持接入Java应用及相关中间件,例如Tomcat。如何确定服务器中可以防护的应用范围?应用防护仅支持防护运行状态的Java应用。您可以在 资产中心>主机资产 页面的 进程 页签,查看进程名为Java的进程,这些进程即为应用...
工作负载安全保护
用于分析和判断由于一些入侵后门植入的恶意进程 5 中间件 用于统计服务器部署的应用中间件 在一些高危中间件漏洞发布或漏洞告警通知后,可以统计企业当前部署中间件的数量、分布,从而快速判断一些漏洞的影响面,以及漏洞修复的优先级。...
Web应用防火墙的审计事件
Web应用防火墙已与操作...DescribeMiddlewareInstances 获取中间件实例列表。DescribeMultiCloudDefaultRule 获取正则规则。DescribeMultiCloudDomainRules 获取多云服务域名规则。DescribeMultiCloudForwardConfig 获取多云服务转发规则。...
基础架构风险分析
网络架构风险 和在IDC面临的风险一样,在云上需要设计网络架构,以便减小网络暴露面和因为网络架构设计不合理导致的网络攻击。网络架构的风险是指由于网络分段、资产暴露、DMZ区设计不合理导致的网络被任意用户访问、内部接口或地址可以被...
接入应用防护
中间件:对中间件类型和版本无特定要求,包括Tomcat、SpringBoot、Jboss、WildFly、Jetty、Resin、Weblogic、Websphere、Liberty、Netty、GlassFish、国产中间件等。操作系统:Linux(64位)、Windows(64位)。资源使用量阈值说明 在主机...
远程调试
运行测试用例前请注释StartService类@Componen防止启动自动运行三方节点的测试影响数据模型测试的效率 H2 注意:需要开启订阅功能才能获取消息,比如数据模型添加时选择订阅选项进入Http2Test类启动,运行测试用例前请注释StartService类@...
产品架构
服务熔断 服务熔断主要目的是当某个服务故障或者异常时,如果该服务触发熔断,可以防止其他调用方一直等待所导致的超时或者故障,从而防止雪崩。产品架构如下:Provider App:指服务提供端发布服务,并向注册中心注册。Consumer App:指...
- 产品推荐
- 这些文档可能帮助您