超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HT ...
分类:
Web程序 时间:
2019-01-13 18:07:12
阅读次数:
223
Store configuration data using Docker Configs 使用Docker Configs存储配置数据 Docker 17.06引入了集群服务配置,允许你在服务镜像或运行的容器之外存储非敏感信息,如配置文件。这允许你尽可能保持镜像的通用性,而不需要将配置文件绑定到容 ...
分类:
其他好文 时间:
2019-01-10 16:32:56
阅读次数:
156
在微服务架构中,我们通常都会采用DevOps的组织方式来降低因团队间沟通造成的巨大成本,以加速微服务应用的交付能力。这就使得原本由运维团队控制的线上信息将交由微服务所属组织的成员自行维护,其中将会包括大量的敏感信息,比如:数据库的账户与密码等。很显然,如果我们直接将敏感信息以明文的方式存储于微服务应 ...
分类:
编程语言 时间:
2019-01-08 21:59:45
阅读次数:
218
SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。 可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作, 甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者 ...
分类:
数据库 时间:
2019-01-06 11:58:04
阅读次数:
174
问题 为了保证用户的信息安全,敏感信息需要脱敏。项目开发过程中,每次处理敏感信息的日志问题感觉很麻烦,大部分都是用工具类单独处理,不利于以后统一管理,很不优雅。于是,就写了一个基于 java 注解的日志脱敏工具。 github sensitive 项目介绍 日志脱敏是常见的安全需求。普通的基于工具类 ...
分类:
编程语言 时间:
2019-01-05 19:56:32
阅读次数:
223
问题 为了保证用户的信息安全,敏感信息需要脱敏。 项目开发过程中,每次处理敏感信息的日志问题感觉很麻烦,大部分都是用工具类单独处理,不利于以后统一管理,很不优雅。 于是,就写了一个基于 java 注解的日志脱敏工具。 "github sensitive" 项目介绍 日志脱敏是常见的安全需求。普通的基 ...
分类:
编程语言 时间:
2019-01-03 12:04:53
阅读次数:
174
敏感信息,直接保存在容器镜像中显然不妥,比如用户名、密码等。K8s提供的解决方案是Secret。 Secret会以密文的方式存储数据,避免了在配置文件中保存敏感信息。Secret会以Volume的形式被mount到Pod,容器可通过文件的方式使用Secret中的敏感数据; 此外,容器也可以环境变量的 ...
分类:
其他好文 时间:
2019-01-01 19:57:53
阅读次数:
186
背景: 最近总是能听到同事说在GitHub上搜到某个敏感信息,然后利用该信息成功的检测并发现某个漏洞,最后提交到对应的SRC(安全应急响应中心)换点money。顿时心里那个羡慕啊,然后就心说自己也要学会使用GitHub这个宝藏。 开始: 众所周知,作为安全人员,学会使用google hack是最基本 ...
分类:
其他好文 时间:
2018-12-28 22:51:07
阅读次数:
297
Secret 概览 Secret 是一种包含少量敏感信息例如密码、token 或 key 的对象。这样的信息可能会被放在 Pod spec 中或者镜像中;将其放在一个 secret 对象中可以更好地控制它的用途,并降低意外暴露的风险。 用户可以创建 secret,同时系统也创建了一些 secret。 ...
分类:
Web程序 时间:
2018-12-21 19:43:05
阅读次数:
297
如何利用GitHub搜索敏感信息 背景: 最近总是能听到同事说在GitHub上搜到某个敏感信息,然后利用该信息成功的检测并发现某个漏洞,最后提交到对应的SRC(安全应急响应中心)换点money。顿时心里那个羡慕啊,然后就心说自己也要学会使用GitHub这个宝藏。 开始: 众所周知,作为安全人员,学会 ...
分类:
其他好文 时间:
2018-12-20 15:46:12
阅读次数:
197
