专注企业信息安全

分类安全开发

如何解决硬编码密钥风险?

硬编码密钥存在什么风险? 密钥暴露面越多,风险就越大 密钥硬编码在代码中导致的直接结果就是代码在哪里,密钥就在哪里。研发人员电脑上存在密钥,如果电脑被攻击则密钥也会被泄漏。其次研发人员会因为没有安全意识,将代码上传至各类私有云盘或家里电脑又或是U盘中,导致风险面增大。更有甚者,将代码上传至GitHub,而忽略了代码中的硬编码密钥,从而被恶意着利用,比如我曾经发现的控制某云厂商全部管理权限。 攻击者拿到硬编码密钥后攻击成本较低 攻击者无论通过什么方式拿到你代码,首先就会去看硬编码密钥部分,尝试去利用这些代码中的明文密钥,比如存在邮箱密码则会去尝试登陆你的邮箱进一步渗透挖掘邮件中有价值的内容,有FTP账号密码则会尝试连接FTP挖掘FTP Server中有价值的文件。 硬编码暗示着你不会去变更它...

API安全

A

应用间HTTP接口互相调用非常常见,期间会存在哪些安全风险?如何保证API接口调用时的安全性,防止数据窃取、未授权访问、请求被篡改以及请求被重放等风险? API安全风险与解决方案 传输窃取 -> HTTPS 接口需要通过HTTPS防止请求在传输过程中被窃取。 让HTTP无法直接访问,会强制跳转到HTTPS。除了公网,办公网内嗅探窃取数据更为容易,也应该全站HTTPS。 未授权访问 -> API密钥(Access/Secret Key) API接口没有做任何安全措施的话,能够被任何人调用到存在未授权访问风险。因此需要给每一个调用此API的应用在发起请求时带上一个事先约定好不容易被猜到的密钥(Secret Key),如果是多个调用方,还需要是谁调用的,因此还需要约定一个调用方的唯一标示(Access Key或App ID)。...

正则安全

1 正则基础知识 2 正则编写思路 编写正则找锚点:找到标记位去噪点:去除可能存在的噪点取数据:取出需要的数据列举用例数据正用例数据:需要匹配到的数据样例反用户数据:不需要匹配到的数据样例验证正则正则和正反用例数据填入确保正则中无红色标记正用例数据可以全部匹配到,反用例数据全部匹配不到验证效果根据实际数据进行效果验证继而优化正则,循环如此 3 正则常见例子 用户名 只允许字母、数字、下划线、横杠;最小四位数,最多16位数; ^[a-z0-9_-]{4,16}$ 数据处理前应全部转为小写字符串两遍应去掉空格 手机号 (13|14|15|16|17|18|19)\d{9}[^\d] TRUE 13512345678 15558077765 FALSE 12345678901 10000000000 135123456789 中文 [^\x00-\xff] TRUE 中文 测试 止介...

专注企业信息安全

标签

Loading