安全
横云断岭
在国内大型互联网公司负责6K+应用,80K+机器的Spring Boot微服务技术落地,关注开发体验,微服务,APM,应用诊断,dubbo开源。
Github: https://github.com/hengyunabc
展开
-
Java中的随机数生成器:Random,ThreadLocalRandom,SecureRandom
Java中的随机数生成器:Random,ThreadLocalRandom,SecureRandom原创 2013-11-30 15:19:06 · 27632 阅读 · 1 评论 -
ElasticSearch远程任意代码执行漏洞(CVE-2014-3120)分析
原理这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。其实官方是清楚这个漏洞原创 2014-05-23 02:11:32 · 15213 阅读 · 0 评论 -
有意思的游戏:Google XSS Game
Google最近出了一个XSS的游戏:https://xss-game.appspot.com/我这个菜鸟看提示,花了两三个小时才全过了。。这个游戏的规则是只要在攻击网页上弹出alert窗口就可以了。题目页面是在iframe里嵌套的展现的,那么父窗口是如何知道iframe里成功弹出了窗口?是这样子实现的:题目页面加载了这个js,改写了alert函数,当alert被调原创 2014-05-31 17:34:38 · 5371 阅读 · 0 评论 -
Cookie & Session & CSRF
新blog地址:http://hengyunabc.github.io/cookie-and-session-and-csrf/在线幻灯片地址: Cookie & Session & CSRF原创 2015-03-09 19:42:52 · 2593 阅读 · 0 评论 -
禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考
Apache Commons Collections远程代码执行漏洞最近出来一个比较严重的漏洞,在使用了Apache Commons Collections的Java应用,可以远程代码执行。包括最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用。这个漏洞的严重的地方在于,即使你的代码里没有使用到Apache Commons Collec原创 2015-11-13 20:40:42 · 8929 阅读 · 2 评论 -
扯谈web安全之JSON
前言JSON(JavaScript Object Notation),可以说是事实的浏览器,服务器交换数据的标准了。目测其它的格式如XML,或者其它自定义的格式会越来越少。为什么JSON这么流行?和JavaScript无缝对接是一个原因。还有一个重要原因是可以比较轻松的实现跨域。如果是XML,或者其它专有格式,则很难实现跨域,要通过flash之类来实现。任何一种数据格式,如原创 2014-05-29 21:03:53 · 30330 阅读 · 3 评论 -
移动App该如何保存用户密码
update 2018-06-042015年出的一个规范 JSON Web Token (JWT) https://tools.ietf.org/html/rfc7519 JWT 官网: https://jwt.io/ 八幅漫画理解使用JSON Web Token设计单点登录系统: http://blog.leapoahead.com/2015/09/07/user-auth...原创 2014-06-28 14:15:01 · 56598 阅读 · 12 评论