漏洞与安全设计

这是有关如何使HTTPS在本地主机或任​​何本地域上运行的完整教程。本教程是关于以下内容的： 如何设置本地域 如何创建自签名SSL证书（或更准确地说是TLS证书） 如何配置Nginx以使用SSL证书 如何使用docker-compose在Doc

用于快速查找端口（最快 3 秒）： 在3 秒内扫描所有 65k 端口。 完整的脚本引擎支持。自动将结果传送到 Nmap，或使用我们的脚本（或编写您自己的）来做任何你想做的事。 适应性学习。RustScan 改进得越多，你使用它。这里没有臃肿的机器学习，只有基本

今天，JSON Web Tokens 广泛用于应用程序中以共享安全信息。尽管如此，它们并非完全万无一失，可能会为攻击者打开大门。但是，如果我们正确使用 JWT，我们可以避免这些缺点。因此，在本文中，我将讨论使用 JSON Web Tokens 时需要遵循的 5 个最佳实践。 

我们大多数人都听说过基于角色的访问控制 (RBAC) 及其稍微更新的后继者，基于属性的访问控制 (ABAC)。但我们并不总是欣赏它们包含的所有伟大想法。当今最常见的“RBAC”系统已被精简，使其比原始概念弱得多。通过回到最初，我们可以构建一个

随着 HTTPS 在 Web 上的使用不断增加，我们需要颁发证书的证书颁发机构提供更多支持，Let's Encrypt提供的免费SSL证书，但

如果您需要在您的系统中存储敏感数据，您必须确保您有适当的加密。首先，您需要决定您需要哪种加密方式——例如，对称加密还是非对称加密。选择标准是根据安全程度等因素权衡，更强的加密需要更多时间并消耗更多 CPU。当然您不需要自己实现加密算法。加密很难，值得信赖的库为您解决加密问题。

本教程展示使用 Java作为客户端 与受 mTLS 保护的服务交互。为了对我们的 Java 客户端进行 ssl 配置，我们需要先设置一个 SSLContext。这简化了事情，因为 SSLContext 可用于各种 http 客户端。由于我们有客户端公钥和私钥，我们需要将私钥从

API 重构是通过观察进出该 API 的流量来构建 API 规范。如果做得好，API 重构可让您了解微服务使用的 API，并使您能够评估 API 安全风险。构建规范后，相同的工具可以将运行时流量与规范进行比较以检测偏差。API 规范的关键组件包括： 参数检测（路径、头

在本文中，我将描述使用 Spring Boot 和 Spring Security 构建微服务的几个最佳实践。我将只关注与安全相关的方面。在我们开始列出安全“黄金规则”之前，让我们分析一个典型的微服务架构。我们将专注于构建安全解决方案的重要组件。下图展示了一个典型的使用 Sp

spring.io宣布 Spring Authorization Server 已正式退出实验状态并进入

OAuth 极大地简化了登录流程，但有各种可选的最佳实践可确保其安全抵御某些攻击。在本文中，研究了两个：CSRF 和重定向拦截以及如何防御两者。针对 OAuth 2.0 登录流程防止 CSRF 和重定向拦截攻击，

几个月前，VMware 现代应用程序首席技术官 James Watters 在云原生安全日上发表了一篇 引人入胜的演讲，他称之为“现代

安全断言标记语言 (SAML) 是一种用于在各方之间交换身份验证和授权数据的开放标准。SAML 通常用于#单点登录 （“使用 Google 登录”、“使用 Twitter 登录”等）。这意味着当您想登录 example.com 时，example.com 可以信任并使用外部身份验证提供程序来

在本文中，介绍HTTP/2实现的Bug缺陷和 RFC 缺陷引起的多种新的 HTTP/2 专有威胁类别。HTTP/2 的强大功能和灵活性可以实现 HTTP/1 无法实现的各种其他攻击。首先展示这些缺陷如何启用 HTTP/2 独占性去同步攻击，案例研究针对由亚马逊的应用程序负载均衡器到

最小可行安全产品是 B2B 软件和业务流程外包供应商的简约安全检查表。设计时考虑到了简单性，清单仅包含必须实施的那些控制措施，以确保产品的安全状态最低限度。我们建议所有构建 B2B 软件或以其他方式处理其最广泛定义下的敏感信息的公司至少实施以下控制措施，并强烈鼓励在其安全计划

加州大学圣地亚哥分校的计算机科学家团队和 Brave Software 开发了一种工具，可以在用户浏览网络时加强对用户隐私数据的保护。研究人员在 2021 年 11 月 14 日至 19 日在韩国首尔举行的 ACM 计算机和通信安全会议 (CCS) 上描述了他们的工作。Sug