来自 数据 2021-10-11 23:00 的文章

防御ddos_高防虚拟主机zxhost_超稳定

防御ddos_高防虚拟主机zxhost_超稳定

无论你在安全之旅的何处,都有继续学习的空间。尤其是在安全行业,深入了解软件和应用程序在web上的交互方式是很重要的。在这样一个充满活力的领域,毫无疑问,学习永远不会结束。 对于网络安全专业的学生来说,幸运的是,有很多组织正在努力工作,帮助我们更好地了解我们要保护的是什么,以及如何最好地保护我们自己的组织。这些组织正在帮助我们打"网络战",也在帮助我们做同样的事情。从非营利组织到大学中心,再到政府资助的研究机构,安全产业的基础已经覆盖了。这里有一座永不停歇的高质量研究和指南,任何有兴趣的人都可以访问-如果你知道正确的地方看看。 我们已经写了最新的网络安全博客。但是,如果你正在寻找更深入的指南、研究和最佳实践来吸收,你的搜索就结束了。以下是为行业服务的网络安全组织的名单,以及他们各自提供的一些最佳资源。 InfoSec组织及其最佳免费资源 OWASP 如果您从事安全方面的工作,您可能对OWASP相当熟悉,但开发人员仍在逐渐了解它。OWASP是开放式Web应用程序安全项目的代表,是一个非盈利组织,由来自世界各地的具有安全专业知识的志愿者组成。与供应商无关,作为一个自由开放的组织运行,OWASP是所有AppSec的惊人资源,任何人都可以使用。如果你能参与进来,总会有新的项目和更新需要所有软件开发领域的专家。 热门OWASP资源和项目: OWASP前10名 这是行业标准,虽然它只涵盖了10个漏洞,但自2004年以来,每三年发布一次新版本的清单,拥有数千名安全专家的力量和数十万小时的研究时间。 OWASP前10名名单来源:OWASPOWASP前10名之所以如此精彩,是因为有如此多的材料和指南可以围绕OWASP前10名创建,这也使得非安全专家也可以访问它——尤其是因为有如此多的多语种志愿者将该名单翻译成了12种语言,并进行了统计。SQL注入和跨站点脚本终于进入了主流开发领域,这在很大程度上要归功于OWASP的前10名。  OWASP ESAPI ESAPI是OWASP的一个很好的例子,因为这个项目是一个企业安全API,企业安全防护,被包括美国运通、Booz Allen Hamilton、MITRE、Hartford保险等在内的重量级组织所使用。ESAPI的控制库旨在帮助开发人员将安全性改造为现有的应用程序,并从一开始就编写新的、风险更低的应用程序,它在OWASP GitHub页面上更新了Java和JavaScript版本。 最棒的是,新的ESAPI版本2.1.0.1本周刚刚发布,这是一个很好的时间来看看这个框架是否适合您的组织。在这里获取发布的详细信息。 安全编码实践快速参考指南 OWASP如何接触到开发人员的一个例子是《安全编码实践快速参考指南》,该指南"只有17页,易于阅读和理解。"以核对表格式编写,没有提到具体的工具,如果您还没有将这些原则集成到您的SDLC中,那么为开发人员打印出来是一个完美的选择。 此处提供可打印的PDF版本。 SANS研究所 SANS研究所,ddos防御免备案,简称SANS,防御ddos攻击服务器,是全球最大的信息安全组织之一,每年为数千名安全专业人员和道德黑客提供安全培训和认证。课程既有在线的也有面对面的,使SANS课程更容易为大众所接受。 SANS还经营着因特网风暴中心,这是一个分支机构,旨在通过向全世界的组织和个人提供免费的分析和警告服务来保证互联网的安全。 顶级SAN资源: CWE/SAN前25名 前25名与OWASP前10名一样,是一个行业标准,许多组织和工具都在这个标准上帮助指导他们的安全编码和安全测试策略。25个最危险的软件错误都是"易于发现、易于利用"的漏洞,这使得它们成为企业应用程序的主要目标。该列表旨在帮助传播认识,并教育开发人员了解可能导致高风险漏洞利用的重要编码错误,而这些错误甚至可能不知道。这份名单是MITRE、SANS研究所和世界各地安全专家共同努力的结果,上一次更新是在2011年。 CWE网站上也提供了该列表,其中还提供了一份关于每种类型的用户如何最好地利用该列表的提示列表。此外,美国国土安全部(U.S.Department of Homeland Security)提供的Build Security-In倡议扩展了前25个最危险的软件错误,以提供"实践、工具、指南、规则、原则和其他资源,软件开发人员、架构师和安全从业者可以使用这些资源在每个阶段将安全性构建到软件中它的发展。" 关键安全控制 本列表为试图降低安全风险的组织提供了可操作的、明确的技术来检测和阻止流行的应用程序攻击。在美国国土安全部、美国国防部、联邦调查局(FBI)和许多其他重要组织的高级安全专家的支持下,这些控制措施有助于组织既防御又阻止已经发生的攻击。 目前,该指南已进入第六版,其目标是"通过对敏感的信息技术基础架构进行持续、自动化的保护和监控,增强组织的防御态势,从而保护关键资产、基础架构和信息,以减少危害,最大限度地减少恢复工作的需要,降低相关成本。" 此资源可在此处下载(填写详细信息后)。 阅览室 SANS阅览室提供了InfoSec主题的所有领域的研究论文,"从SCADA到无线安全,从防火墙到入侵检测"。SANS站点的这个区域每月有超过75000名独立访客,所以如果你不熟悉这个奇妙的资源,时机已经到了。 这真的取决于你在找什么,但是如果你有兴趣只想一探究竟,以下是他们过去一年最受欢迎的25篇论文。 伊萨克 ISACA,以前称为信息系统审计和控制协会,但现在覆盖了更多的领域,是另一个非盈利的全球信息安全组织。ISACA在全世界拥有超过14万名会员,部分由帮助领导该组织的大量志愿者管理。他们提供了一些很好的研究成果,虽然其中一些确实需要花钱或需要会员才能下载,但有很多免费资源,下面将重点介绍其中一些。 艾萨克顶级研究: DevOps从业人员注意事项 当一个组织正在考虑迁移到DevOps生态系统时,有许多安全和基于风险的因素需要确保在过渡过程中得到考虑。本白皮书提供了一些指导,概述了有关DevOps风险的考虑因素、有助于减轻关键风险领域的控制措施以及安全专业人员可以采取的帮助降低潜在风险的具体行动。 物联网:风险与价值考量 虽然我们都听说过物联网对许多个人或公共设备造成严重破坏的恐怖故事,但物联网如何使我们自己的组织处于危险之中,以及我们需要准备什么,并不总是很清楚。物联网革命正在进行,本白皮书有助于提高安全专业人员需要注意的风险的认识。  云安全联盟 这个非盈利组织成立于2008年,其使命是"推广在云计算中提供安全保障的最佳实践,并提供关于云计算使用的教育,以帮助保护所有其他形式的计算。" 戴夫·卡利诺是eBay组织的一个共同目标,即如何理解CISLINE的云计算安全需求。 顶级云安全联盟(CSA)资源: CloudBytes网络研讨会 CSA每月提供由成员举办的网络研讨会,帮助传播对各种云安全主题的认识。有一个令人印象深刻的网络研讨会的集合,有高质量的演讲者就相关主题,所以如果你想看网络研讨会(并想了解更多关于云安全的知识),这是网站适合你的领域。 工作组 对云安全研究有什么想法吗?CSA的工作组为志愿者提供了一种连接项目的方式,或者自己启动项目,他们有兴趣在28个不同的云安全领域提供帮助。 白皮书 CSA还提供了一组可供下载的白皮书,ddos可以软件防御吗,并在Creative Commons归属许可下获得许可,因此非商业用途是完全可以的,服务器如何做cc防御,只要你在信用到期的地方给予信用。这些论文涉及许多不同的云安全主题,从审计分布式数据库到根据新的欧洲数据保护法保护云数据。  NIST萨马特 美国国家标准与技术研究所(National Institute of Standards and Technology)是一家致力于为不同垂直领域制定标准的美国组织,该组织制定了这套评估文件,以帮助组织确定适合其开发环境的正确工具,并帮助评估不同工具和技术的有效性。SAMATE包括源代码分析工具、漏洞扫描程序、二进制代码