2010年11月_tenfyguo

原创安全架构设计必须考虑的几个点

安全的要求是进行系统架构设计必须需要充分考虑的，我们认为这是跟产品特性一样重要的，并称为“安全特性”，安全的防范是必须在设计阶段而不是发布后才考虑的。具体对互联网的一个架构，我们需要考虑哪些方面呢？一，配置管理二，数据安全-存储和传输安全三，认证 - authentication四，授权 - authorization五，数据验证六，用户和会话管理七，错误处理和异常管理八，审计和日志

2010-11-30 10:58:00 3105

from : http://superhei.blogbus.com/logs/13463505.html CSRF在过去的n年(n>2)一直都火,在bh/defcon/owasp等会议上多次探讨CSRF的攻防[具体你可以看看以往的那些pp].前段时间PLAYHACK.net上发表了一个总结性的pp:Preventing CSRF,然而CSRF是很难彻底防止的,这个也是我说CSRF卑鄙无耻的一个原因,下面我的一些Bypass Preventing CSRF的tips:<b

2010-11-24 18:31:00 1252

原创 anti-CSRF Token布署时需要注意的一点问题

from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html 防范CSRF攻击的方案有许多种，有用验证码来防的(tenfy:方案比较重，适合于敏感数据的变更类操作，对一般查询信息类不是很合适)，更多的是生成一个随机的token，当用户提交的时候，在服务器端比对一下token值是否正确，不正确就丢弃掉，正确就验证通过。（因为有些人喜欢钻牛角尖，所以再次强调下，我们习惯于区分CSRF和XSRF，后者是在

2010-11-24 14:38:00 12346

原创如何通过socket进行大量返回信息的读取

我们知道，TCP协议本身一个流的协议，信息之间是没有边界的，均是字节为单位的流，在使用php进行读取socket返回的时候，根据我们的应用场景，可能只需要读取一行返回即可，此时我们非常简单调用如下API即可实现： $buffer = fgets( $sock ); API说明： string fgets ( int handle [, int length])

2010-11-22 19:29:00 3649

转载 JSON Hijacking的利用

from:http://www.7747.net/Article/200812/30705.html JSON Hijacking有什么作用，正如黑哥所说，可以CSRF得到用户隐私数据:)。 原理最后介绍，先来看个攻击例子，拿饭否来做个实验。首先我们看这：<a href="http://help.fanfou.com/api.html" target="_blank">http://help.fanfou.com/api.html</a>。饭否的A

2010-11-21 13:14:00 3623

转载 GNU的attribute机制

GNU C的一大特色（却不被初学者所知）就是__attribute__机制。__attribute__可以设置函数属性（Function Attribute）、变量属性（Variable Attribute）和类型属性（Type Attribute）。 __attribute__书写特征是：__attribute__前后都有两个下划线，并切后面会紧跟一对原括弧，括弧里面是相应的__attribute__参数。 __attribute__语法格式为： __attribute__

2010-11-11 18:11:00 642

转载 Linux 汇编语言开发指南

from:http://www.ibm.com/developerworks/cn/linux/l-assembly/index.html 一、简介 作为最基本的编程语言之一，汇编语言虽然应用的范围不算很广，但重要性却勿庸置疑，因为它能够完成许多其它语言所无法完成的功能。就拿 Linux 内核来讲，虽然绝大部分代码是用 C 语言编写的，但仍然不可避免地在某些关键地方使用了汇编代码，其中主要是在 Linux 的启动部分。由于这部分代码与硬件的关系非

2010-11-09 19:26:00 479

转载 window.location.href在IE6下面竟然不跳转

2010-11-09 19:12:00 2820 2

tenfyguo的技术专栏