安全
深度Java
这个作者很懒,什么都没留下…
展开
-
OAuth认证协议原理分析及使用方法
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了, 这种网站就是这个效果。其实这都是拜 OAuth所赐。OAuth是什么?OAuth是一个开放的认证协议,让你可以在Web或桌面程序原创 2011-07-25 15:56:38 · 3182 阅读 · 0 评论 -
经历一次真实的XSS跨站攻击以及应付之策
这是一个线上真实的事情,黑客已经攻破网站,并主动给我们上报了问题的根源以及解决方案还是不错的。1.前端网站某处存在用户评论输入,黑客再此输出跨站脚本,下面的是从数据库查出来的2.后台管理人员如果浏览到这条数据就会触发这个js,这个js会跳转到真实的地址然后执行js这里只选择一部分从中可以看出其实黑客就是让管理人员执行这段js然后发送其cookie到执行的服务器再存储起来,然后黑客就可以冒充管理人员原创 2016-04-21 16:26:32 · 3831 阅读 · 0 评论 -
Javascript到PHP加密通讯的简单实现
互联网上大多数网站,用户的数据都是以明文形式直接提交到后端CGI,服务器之间的访问也大都是明文传输,这样可被一些别有用心之人通过一些手段监听到。对安全性要求较高的网站,比如银行和大型企业等都会使用HTTPS对通讯过程进行加密等处理。但是使用HTTPS的代价是及其昂贵的。不只是CA证书的购买,更重要的是严重的性能瓶颈,解决方法目前只能采用专门的SSL硬件加速设备如F5的BIGIP等。因此一些网站选择转载 2012-11-20 18:11:58 · 12135 阅读 · 0 评论 -
使用who.is查域名DNS信息以及用sameip.org查其他网站
www.who.is网站可以查域名信息,非常好用:例如查 hack-test.com 然后我们可以找找同个IP上的其他站点(旁站:sameip.org) 参考:黑客是怎么攻击一个网站的?原创 2012-03-23 11:17:43 · 11502 阅读 · 0 评论 -
445端口入侵详解
445端口入侵详解 关于“445端口入侵”的内容445端口入侵详解本站搜索更多关于“445端口入侵”的内容 445端口入侵,在这之前我们首先要看的还是445端口为什么回成为入侵的端口呢?445端口就是IPC 服务的默认端口 ipc$一 摘要 二 什么是 ipc$ 三 什么是空会转载 2012-03-23 10:50:41 · 77861 阅读 · 8 评论 -
哈希表之殇
此文为Infoq中文站QSecurity专栏供稿,转载请注明出处:http://www.infoq.com/cn/articles/hash-table2011年12月28日,由Google赞助成立的安全漏洞研究组织oCERT(Open source Computer Emergency Response Team — 开源软件应急响应团队)公开了一份安全漏洞报告。这份报告是几个月前由德国安全研究转载 2012-03-29 14:33:12 · 2410 阅读 · 0 评论 -
HTTP POST慢速DOS攻击初探
1. 关于HTTP POST慢速DOS攻击HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里:http://www.darkreading.com/galleries/security/application-security/228400167/sl转载 2012-03-29 14:31:18 · 11366 阅读 · 0 评论 -
PHP哈希表碰撞攻击原理
哈希表碰撞攻击(Hashtable collisions as DOS attack)的话题不断被提起,各种语言纷纷中招。本文结合PHP内核源码,聊一聊这种攻击的原理及实现。哈希表碰撞攻击的基本原理哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的变量转载 2012-03-23 14:02:14 · 2159 阅读 · 0 评论 -
公钥,私钥和数字签名这样最好理解
一、公钥加密 假设一下,我找了两个数字,一个是1,一个是2。我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥。我有一个文件,不能让别人看,我就用1加密了。别人找到了这个文件,但是他不知道2就是解密的私钥啊,所以他解不开,只有我可以用数字2,就是我的私钥,来解密。这样我就可以保护数据了。我的好朋友x用我的公钥1加密了字符a,加密后成了b,放在网上。别人偷到了这个文件,但原创 2012-02-10 17:25:32 · 138642 阅读 · 52 评论 -
Bruce Schneier 和他的密码学以及网络安全经典著作推荐
经典语录--数学是完美的,而现实却是主观的。数学是精确的,而计算机却充满矛盾。数学是遵循逻辑的,而人却是不稳定的、反复无常的,甚至是难以理解的。 密码学是数学的一个分支。像所有其他数学分支一样,它涉及的是数字、公式和逻辑。安全性,特别是在我们的生活中十分有用的安全性,它涉及的是人:人所知道的事情、人与人之间的关系、人和机器的关系。而数字的安全性涉及到的是计算机:复杂的、不稳定的、充满漏洞的计算机。原创 2012-02-10 10:58:27 · 6891 阅读 · 1 评论 -
制作安全网站的checklist
原作者charlee、原始链接http://tech.idv2.com/2008/04/19/secure-website-checklist/ fcicq最近在IPA上看到一篇安全相关的文章,它的最末尾有个checklist,于是催我把它翻译了。前几天比较忙,周末没什么事儿了,就翻译一下吧。 原文的标题是如何让网站更安全。这里仅翻译文章最后的一个checkli原创 2008-11-13 15:34:00 · 8940 阅读 · 1 评论 -
跨站脚本攻击(XSS)FAQ
原作者charlee、原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明。 该文章简单地介绍了XSS的基础知识及其危害和预防方法。Web开发人员的必读。译自 http://www.cgisecurity.com/articles/xss-faq.shtml。简介现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得原创 2008-11-13 16:14:00 · 10336 阅读 · 1 评论 -
跨域攻击XSS防御
Java的view层可以使用EL和JSTL后端的ModelAndView增加mv.addObject("xss", "alert(\"test\")");View页面${xss} c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘‘ ‘&‘ 等进行转义,而EL表达式则不会。原创 2016-09-26 15:13:22 · 4971 阅读 · 0 评论