漏洞与安全设计

Mirai恶意僵尸软件现在利用Spring4Shell漏洞来感染脆弱的网络服务器，并合并在一起用作进行DDoS（分布式拒绝服务）攻击的肉鸡。Spring4Shell是一个关键的远程代码执行（RCE）漏洞，被追踪为CVE-2022-22965，影响Spring框架，一个广泛使用的企业级

SIEM 代表安全、信息和事件管理（ Security, Information, and Event Management.）。SIEM 技术将日志数据、

尝试使用低效技术保护前端应用程序可能很危险。我从不同的来源（Callstack、Jscrambler、Tabris、Nativescript、Reactnativecode）看到了许多文章，详细介绍了使用混淆、自定义加密（XORing与重复使用密钥等......）等技术来保护前端应用

如果您的服务器在2022 年 4 月重要补丁更新 (CPU)之前运行任何 Java 15、16、17 或 18 版本，且使用

2022年4月9日，NGINX LDAP 参考实现中的安全漏洞被公开分享。我们已经确定只有参考实现受到影响。NGINX Ope

本教程将引导您完成使用 TLS 身份验证保护您的应用程序的过程，仅允许基于其证书的某些用户进行访问。这意味着您可以选择允许哪些用户调用您的应用程序。 为你的API设置安全的教程，包括TLS/SSL的单向认证和基于java的Web服务器和Spring

向HTTP请求添加代理的情况有很多，例如为了安全性或匿名性。但是在任何情况下，Java 库（通常）都会使添加代理变得复杂。在 Java 中执行 HTTP 调用没有简单的内置解决方案。我们将使用

cargo audit：如果您担心供应链对您的工具的攻击，它将检查您对

每当您需要在应用程序中实现密码哈希或散列时，您应该牢记一些最佳实践。永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库！密码学是一个复杂的领域，如果你尝试自己实现一个流行的算法，就会出现很多问题。随着计算机每年变得越来越强大，密码哈希算法（及其参数

在本文中，您将学习如何在 Kubernetes 上创建安全的 HTTPS 网关。我们将使用Cert Manager生成 TLS/SSL 证书。使用

当我在PKC工作时，我们的团队做了超过20次的代码审计，其中许多是为刚刚进入A轮或B轮的初创公司做的（那通常是当他们有了现金，并意识到在关注产品的市场适应性之后，对其安全性进行更深入的研究是很好的）。 这是一项令人着迷的工作--我们深入研究了各种领

在较高级别上，匿名凭证通过将身份验证分为两个阶段来支持无身份识别验证： 令牌颁发和去身份验证。在令牌颁发阶段，客户端通过经过身份验证的通道联系服务器以发送令牌。服务器签名并将其发送回。然后，在无身份识别验证（或令牌赎回）阶段，客户端使用匿名通道提交数据并使用此令牌的变异形式而

基于云的存储库托管服务 GitHub 周五分享了上个月GitHub 集成 OA

在一个软件漏洞被公开披露之前，它被称为 "零日"，因为软件制造商可以开发和发布补丁的时间为零，而防御者开始监测该漏洞的时间为零。反过来，攻击者用来利用这种漏洞的黑客工具也被称为零日漏洞。一旦一个漏洞被公开，修复程序可能不会立即发布（或永远不会发布），但攻击者会注意到他们的活动可能被发

Uber 拥有世界上最大的 Apache Kafka 部署之一。它支持 Uber 的大量实时工作流，包括用于传递来自骑手和司机应用程序的事件数据的发布-订阅消息总线，以及后端服务之间的金融交易事件。由于 Kafka 构成了 Uber 核心工作流程的关键组件，因此保护从主题发布和订阅的数据以保

美国国土安全部启动“Hack the DHS”漏洞赏金计划，为其工作的 450 多名安全研究人员发现了超过 122 个漏洞，其中 27 个被认为是关键漏洞。该机构向该计划的参与者提供了 125,600 美元，用于发现和识别漏洞。 启动这项计划原因去