作为员工与管理者的双重身份,我既要考虑自己的晋升,也要为团队所有同学的晋升做好规划。从一开始业余白帽子,到如今的CISO。这么多年的职业生涯中,有过每一两年晋升一级的高光时刻,也有五年才晋升的灰暗时刻。晋升过程中不断的在踩坑,我多么希望有个人能告诉我,让我少走点弯路。
晋升的经验与教训
晋
Flask常见利用点
F
Secret Key(FlasK_Login) Flask_Login维护Flask Session,实现登陆、退出等会话管理功能。Flask Login使用的是客户端的方式储存会话信息,也就是将会话相关身份信息编码后储存在客户端Cookie中,并使用密钥进行签名。而一般的网站使用的是服务端会话方案,客户端的SESSION只是一个标识符,传到服务端后会通过标识符找到对应的用户身份信息。 客户端储存SESSION信息的方案优势是处理会话信息时速度比较快,因为没有服务端储存步骤。后段服务比较容易横向扩容,因为不用去解决一个用户访问多个服务器间的会话同步问题。缺点也很明显,客户端会话模式中编码部分的内容是可以随意解开的,所以不能储存敏感信息。另外储存内容大小也受到Cookie大小限制,默认4KB。同时Flask无法在服务端直接失效某个会话。 # 一个SESSION例子 # ...
应用安全面试题目
应
目录 安全运营安全理念安全意识安全规范安全评估安全解决方案安全资产渗透测试常规漏洞业务逻辑漏洞API安全协议漏洞业务风险算法安全加解密供应链安全安全扫描器IASTSASTDAST应用安全防护RASPWAF安全头修复组件漏洞处置漏洞管理应急响应nday情报其它应用类型前端/移动端安全 应用安全主要确保软件应用在需求、设计、研发、测试、部署、升级等全生命周期的安全性。...
AI Security
A
目录 AI、LLM、AgentAI Security数据投毒攻击模型对抗攻击模型窃取prompt injection(提示词注入)提示词泄漏越狱指令干扰修改记忆/上下文干扰RCEDoS问答数据窃取文件中含有恶意提示词网站中含有恶意提示词数据传输外部 AI、LLM、Agent ChatGPT、Gemini、通义千问等大语言模型LLM都使用过,他让我们能够通过自然语言了解各种我们原先需要自主检索的知识,相当于我们可以随时和一个知识面极广的人交流任何问题。交互主要通过问答形式,根据我们的问题(Prompt)进行回答,问题问的好不好决定了回答的质量。但他无法做一些知识问答以外的事情,比如帮我分析一个网站是否安全。 分析一个网站是否安全需要用到很多工具(可以是插件、API、代码等),如果让LLM拥有调用这些工具的能力,就能够实现知识问答以外的能力。LangChain...
网络数据安全管理条例
网
目录 第一章 总则第二章 一般规定第三章 个人信息保护第四章 重要数据安全第五章 网络数据跨境安全管理第六章 网络平台服务提供者义务第七章 监督管理第八章 法律责任第九章 附则 第一章 总则 第一条 为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。 第二条 在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。 在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。...
安全平行切面
安
早期当我们在生产环境上线了RASP后,发现其还是能够不断的被绕过,只是从原来的WAF流量层面的对抗到了应用内部视角。后来我们放弃了基于攻击特征的黑名单防御模式,逐步转变为基于应用行为特征的白名单模式,也就是我们内部所说的“应用可信”。 在应用可信的建设过程中,我们的可信力度也逐渐在加深,从最开始的命令执行可信,到网络访问可信、文件读写可信,再到后来的反射、库加载、类加载、线程注入、JNDI访问、反序列化、表达式注入、动态脚本、内存马等等,至此已经能免疫各种常规的0day漏洞了,比如Log4j RCE、Fastjson RCE、SSRF等等。...