博客园 - 指尖的乐律
uuid:24b78886-0ed1-41c2-8670-e3f31dcf42c4;id=150692
2021-12-24T11:55:19Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
feed.cnblogs.com
https://www.cnblogs.com/zjdyl/p/15620929.html
jsonp劫持 - 指尖的乐律
首先必须明白 jsonp 是一个什么场景使用: 有种跨域获取数据的方法jsonp: js 标签 script 可以实现src中的地址不受同源策略限制进行数据访问及获取; JSONP的原理:(JSONP请求一定需要对方的服务器做支持才可以) 在script的世界中,没有同源跨域这一说,只要你给我src
2021-11-29T11:27:00Z
2021-11-29T11:27:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】首先必须明白 jsonp 是一个什么场景使用: 有种跨域获取数据的方法jsonp: js 标签 script 可以实现src中的地址不受同源策略限制进行数据访问及获取; JSONP的原理:(JSONP请求一定需要对方的服务器做支持才可以) 在script的世界中,没有同源跨域这一说,只要你给我src <a href="https://www.cnblogs.com/zjdyl/p/15620929.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/14549634.html
三方库漏洞检测与CI/CD - 指尖的乐律
三方包漏洞检测与CICD的结合能在工程化的开发场景下更有效率的落地,践行安全左移;
基础是要有对这两件事的理解和工程化;
2021-03-30T08:24:00Z
2021-03-30T08:24:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】三方包漏洞检测与CICD的结合能在工程化的开发场景下更有效率的落地,践行安全左移;
基础是要有对这两件事的理解和工程化; <a href="https://www.cnblogs.com/zjdyl/p/14549634.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/14573768.html
风控系统架构学习 - 指尖的乐律
学习: https://mp.weixin.qq.com/s/GAeau8TJEWZtrv5CHlSHNQ
针对典型刷量,刷榜,不当获利等类型的网络行为,进行风控体系的一些基本架构。
2021-03-24T07:32:00Z
2021-03-24T07:32:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】学习: https://mp.weixin.qq.com/s/GAeau8TJEWZtrv5CHlSHNQ
针对典型刷量,刷榜,不当获利等类型的网络行为,进行风控体系的一些基本架构。 <a href="https://www.cnblogs.com/zjdyl/p/14573768.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12857519.html
向上管理--提出建议与说服 - 指尖的乐律
总结
2020-05-09T07:00:00Z
2020-05-09T07:00:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】总结 <a href="https://www.cnblogs.com/zjdyl/p/12857519.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12857431.html
向上管理--汇报工作 - 指尖的乐律
汇报是职责所在 1、汇报什么内容 2、在什么时机汇报 3、通过什么方式汇报 内容: 时机:连续性、常规性 》固定 突发临时:随时立即 场合 、状态 checklist: 1、汇报类型 工作计划,做好详细准备 预估师傅申请资源 工作进度 约好汇报节点 汇报意外 第一时间 汇报工作结果 有层次 数据说话
2020-05-09T06:50:00Z
2020-05-09T06:50:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】汇报是职责所在 1、汇报什么内容 2、在什么时机汇报 3、通过什么方式汇报 内容: 时机:连续性、常规性 》固定 突发临时:随时立即 场合 、状态 checklist: 1、汇报类型 工作计划,做好详细准备 预估师傅申请资源 工作进度 约好汇报节点 汇报意外 第一时间 汇报工作结果 有层次 数据说话 <a href="https://www.cnblogs.com/zjdyl/p/12857431.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12842131.html
向上管理--调节自我 适应老板 - 指尖的乐律
如果不喜欢自己的直属上司 排除个人感情纠结,看能力 处处强:跟着学习 有能力短板:思考去互补 how: 工作能力、行为风格、沟通方式 能力上积极支援,站在身旁 而不是对立面 行为风格:DISC四种类型 D 支配型 I 影响型 S 稳健型 C 服从型 沟通; 两个错误: 1、没有给予足够的认可 》每一
2020-05-07T04:08:00Z
2020-05-07T04:08:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】如果不喜欢自己的直属上司 排除个人感情纠结,看能力 处处强:跟着学习 有能力短板:思考去互补 how: 工作能力、行为风格、沟通方式 能力上积极支援,站在身旁 而不是对立面 行为风格:DISC四种类型 D 支配型 I 影响型 S 稳健型 C 服从型 沟通; 两个错误: 1、没有给予足够的认可 》每一 <a href="https://www.cnblogs.com/zjdyl/p/12842131.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12841772.html
向上管理--了解需求(了解什么 怎么了解) - 指尖的乐律
继上一篇https://www.cnblogs.com/zjdyl/p/12841547.html 拿人钱财,替人消灾 工作对公司负责,为公司创造价值;上级是直接判定者,也是需求传达者; 隐藏 很好的理解上级的需求,得到认可, 否则所做的努力 很可能是无用功; 了解什么 怎么了解 1、了解公司/部门
2020-05-07T03:27:00Z
2020-05-07T03:27:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】继上一篇https://www.cnblogs.com/zjdyl/p/12841547.html 拿人钱财,替人消灾 工作对公司负责,为公司创造价值;上级是直接判定者,也是需求传达者; 隐藏 很好的理解上级的需求,得到认可, 否则所做的努力 很可能是无用功; 了解什么 怎么了解 1、了解公司/部门 <a href="https://www.cnblogs.com/zjdyl/p/12841772.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12841547.html
向上管理 - 指尖的乐律
1、需求 资源在领导手里 ,需要资源; 2、误区: 1、溜须拍马 2、改变老板 3、默默听话及执行 怎么做 1、帮老板解决问题 了解他的需求、他的认为、挑战、压力 2、适应与配合、互补 3、主动出击 管理对方预期 ; 对的时间 对的方式 说对的话 ,汇报工作 建立良好的互动模式 职场是人构成的江湖,
2020-05-07T02:59:00Z
2020-05-07T02:59:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】1、需求 资源在领导手里 ,需要资源; 2、误区: 1、溜须拍马 2、改变老板 3、默默听话及执行 怎么做 1、帮老板解决问题 了解他的需求、他的认为、挑战、压力 2、适应与配合、互补 3、主动出击 管理对方预期 ; 对的时间 对的方式 说对的话 ,汇报工作 建立良好的互动模式 职场是人构成的江湖, <a href="https://www.cnblogs.com/zjdyl/p/12841547.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12795700.html
CGI、SOD - 指尖的乐律
今天看书看到 安全设计架构 授权的能力等级描述中,第三级的描述参考是 见: 数据安全架构设计与实战 P219 授权能力表 “权限管理系统往往只能控制到CGI这一级,无法控制到给予参数值的权限” 第五级:“SOD权限分离” CGI、SOD是什么? 成熟度各个等级的差异,希望能再清晰点,目前只是有个模糊
2020-04-28T09:33:00Z
2020-04-28T09:33:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】今天看书看到 安全设计架构 授权的能力等级描述中,第三级的描述参考是 见: 数据安全架构设计与实战 P219 授权能力表 “权限管理系统往往只能控制到CGI这一级,无法控制到给予参数值的权限” 第五级:“SOD权限分离” CGI、SOD是什么? 成熟度各个等级的差异,希望能再清晰点,目前只是有个模糊 <a href="https://www.cnblogs.com/zjdyl/p/12795700.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12744719.html
需求安全评审的线上化尝试 - 指尖的乐律
背景: 目前及未来一段时间内, 可见的安全需求评审来源有三 1、施行SDL的业务线:需求评审是sdl一个环节 2、业务方对安全有要求,希望进行安全评审,给到安全建议 3、重要项目,虽未实行SDL,但安全团队依然对其有安全要求, 要对其进行安全评审; (三种来源并存的情况,也是因为目前没有足够人力资源
2020-04-21T07:01:00Z
2020-04-21T07:01:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】背景: 目前及未来一段时间内, 可见的安全需求评审来源有三 1、施行SDL的业务线:需求评审是sdl一个环节 2、业务方对安全有要求,希望进行安全评审,给到安全建议 3、重要项目,虽未实行SDL,但安全团队依然对其有安全要求, 要对其进行安全评审; (三种来源并存的情况,也是因为目前没有足够人力资源 <a href="https://www.cnblogs.com/zjdyl/p/12744719.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12744645.html
需求(及设计)安全评审 - 指尖的乐律
针对一些项目需求评估安全性 给出基于业务需求场景的安全建议 操作流程: 1、根据需求文档,分析项目需求,了解背景及场景 (需求背景、业务流程、涉及数据类型密级),方式可以文档结合访谈询问沟通 2、根据设计文档(逻辑架构图、应用场景数据流图),分析设计(功能、架构、数据流、业务流) 3、安全评估:可用
2020-04-21T06:52:00Z
2020-04-21T06:52:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】针对一些项目需求评估安全性 给出基于业务需求场景的安全建议 操作流程: 1、根据需求文档,分析项目需求,了解背景及场景 (需求背景、业务流程、涉及数据类型密级),方式可以文档结合访谈询问沟通 2、根据设计文档(逻辑架构图、应用场景数据流图),分析设计(功能、架构、数据流、业务流) 3、安全评估:可用 <a href="https://www.cnblogs.com/zjdyl/p/12744645.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12744367.html
数据使用相关安全建议方案-数据展现 - 指尖的乐律
业务有数据查看需求的:如比对、打电话 1、脱敏,可满足唯一性比对即可, 2、脱敏影响业务的,可以考虑在脱敏的同时,添加辅助字段,如住址的大概描述: 浙江省-杭州市 3、打电话可以采用第三方的电话服务,省去人工查看拨打电话,直接打电话 仍然不行的,要查看数据,则要进行1、限制次数 2、限制权限,根据属
2020-04-21T06:22:00Z
2020-04-21T06:22:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】业务有数据查看需求的:如比对、打电话 1、脱敏,可满足唯一性比对即可, 2、脱敏影响业务的,可以考虑在脱敏的同时,添加辅助字段,如住址的大概描述: 浙江省-杭州市 3、打电话可以采用第三方的电话服务,省去人工查看拨打电话,直接打电话 仍然不行的,要查看数据,则要进行1、限制次数 2、限制权限,根据属 <a href="https://www.cnblogs.com/zjdyl/p/12744367.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12744330.html
数据使用相关安全建议方案--oss存储: - 指尖的乐律
背景/风险 站库分离后,很多资源会存在云上的文件服务器, 如阿里云OSS; 使用时如不注意安全配置,会有一些安全风险,: 任何人可访问, 没访问控制 加了签名,但在url中,可呗获取(传输中过程任何环节、浏览器、历史记录等) url有效时间长,导致如为敏感信息,增加被找到的风险,与1结合 建议/方案
2020-04-21T06:18:00Z
2020-04-21T06:18:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】背景/风险 站库分离后,很多资源会存在云上的文件服务器, 如阿里云OSS; 使用时如不注意安全配置,会有一些安全风险,: 任何人可访问, 没访问控制 加了签名,但在url中,可呗获取(传输中过程任何环节、浏览器、历史记录等) url有效时间长,导致如为敏感信息,增加被找到的风险,与1结合 建议/方案 <a href="https://www.cnblogs.com/zjdyl/p/12744330.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/12744312.html
SSO的误区及建议 - 指尖的乐律
背景: SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用; 但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点 应用网站就能拿到口令 交互中存在被盗取、劫持的风险 sso使用建议 访问网站,先跳转到SSO 认证通过后
2020-04-21T06:16:00Z
2020-04-21T06:16:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】背景: SSO统一身份认证,可以节省重复认证开发,也能统一保证安全、可用; 但sso在接入使用时也存在误区,会产生安全风险. 如网站应用先拿到用户口令,再去跟sso交互认证,这个过程中存在风险点 应用网站就能拿到口令 交互中存在被盗取、劫持的风险 sso使用建议 访问网站,先跳转到SSO 认证通过后 <a href="https://www.cnblogs.com/zjdyl/p/12744312.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/8521217.html
关于 target="_blank"漏洞的分析 - 指尖的乐律
创建: 于 八月 30, 2016 关于 target="_blank"漏洞的分析 一、漏洞详情:首先攻击者能够将链接(指向攻击者自己控制的页面的,该被控页面的js脚本可以对母页面进行部分权限操控,如跳转:opener.location)存储在应用上,并展现给受害者,诱导受害者点击,才能继续后续攻击
2018-03-07T03:14:00Z
2018-03-07T03:14:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】创建: 于 八月 30, 2016 关于 target="_blank"漏洞的分析 一、漏洞详情:首先攻击者能够将链接(指向攻击者自己控制的页面的,该被控页面的js脚本可以对母页面进行部分权限操控,如跳转:opener.location)存储在应用上,并展现给受害者,诱导受害者点击,才能继续后续攻击 <a href="https://www.cnblogs.com/zjdyl/p/8521217.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/7059756.html
好久没来了,平时一些笔记都记在印象笔记,长传一波 - 指尖的乐律
RT
2017-06-21T07:20:00Z
2017-06-21T07:20:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】RT <a href="https://www.cnblogs.com/zjdyl/p/7059756.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/7059655.html
BIOS基础 - 指尖的乐律
Basic Input Output System 基本输入输出系统 固化到主板上-个 ROM芯片上的 程序 为计算机提供最底层、最直接的的硬件设置和控制 以上来自百度 不讨论时软件还是硬件,但是时软硬件沟通的桥梁 存放位置:经历ROM、 EPROM 、EEPROM、 NORFlash,擦除、写入技
2017-06-21T07:07:00Z
2017-06-21T07:07:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】Basic Input Output System 基本输入输出系统 固化到主板上-个 ROM芯片上的 程序 为计算机提供最底层、最直接的的硬件设置和控制 以上来自百度 不讨论时软件还是硬件,但是时软硬件沟通的桥梁 存放位置:经历ROM、 EPROM 、EEPROM、 NORFlash,擦除、写入技 <a href="https://www.cnblogs.com/zjdyl/p/7059655.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/7059658.html
CSRF的本质及防御 - 指尖的乐律
本质:产生的原因本质上是参数可知或可预测 防御: 1、加密参数:加密加盐,不可知,不可预测 忧虑,引入其他麻烦:一、数据分析困难 二、正常功能会受影响,比如url收藏 2、验证码:用户在确认操作 破解:只防止了用户不知情点击的情况,用户知情时也可以诱导点击 3、referer check:验证上一u
2017-06-21T07:07:00Z
2017-06-21T07:07:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】本质:产生的原因本质上是参数可知或可预测 防御: 1、加密参数:加密加盐,不可知,不可预测 忧虑,引入其他麻烦:一、数据分析困难 二、正常功能会受影响,比如url收藏 2、验证码:用户在确认操作 破解:只防止了用户不知情点击的情况,用户知情时也可以诱导点击 3、referer check:验证上一u <a href="https://www.cnblogs.com/zjdyl/p/7059658.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/7059646.html
linux下stricky - 指尖的乐律
阅读文章链接http://www.linuxdiyf.com/viewarticle.php?id=79380 suid、sgid很易懂,stricky常忘了含义,做个笔记: 该位只对目录配置 实现效果:配置后,该目录下文件只有该文件的创建者可以删除;( 一般是在某个目录为所有用户可写(可创建、删除
2017-06-21T07:05:00Z
2017-06-21T07:05:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】阅读文章链接http://www.linuxdiyf.com/viewarticle.php?id=79380 suid、sgid很易懂,stricky常忘了含义,做个笔记: 该位只对目录配置 实现效果:配置后,该目录下文件只有该文件的创建者可以删除;( 一般是在某个目录为所有用户可写(可创建、删除 <a href="https://www.cnblogs.com/zjdyl/p/7059646.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/zjdyl/p/7059641.html
CSRF与xss的区别 - 指尖的乐律
CSRF:无法获取受害者的cookie,无法看到cookie; 只是利用受害者是被服务器信任的(靠验证cookie),而给服务器发送请求; xss:利用cookie只是xss的一种体现,xss还可以篡改网页、URL跳转等等;跨站脚本,脚本可以做什么,xss就可以做什么; 单在利用cookie上来说:
2017-06-21T07:05:00Z
2017-06-21T07:05:00Z
指尖的乐律
https://www.cnblogs.com/zjdyl/
【摘要】CSRF:无法获取受害者的cookie,无法看到cookie; 只是利用受害者是被服务器信任的(靠验证cookie),而给服务器发送请求; xss:利用cookie只是xss的一种体现,xss还可以篡改网页、URL跳转等等;跨站脚本,脚本可以做什么,xss就可以做什么; 单在利用cookie上来说: <a href="https://www.cnblogs.com/zjdyl/p/7059641.html" target="_blank">阅读全文</a>