大树叶 技术专栏

骨灰攻城狮 架构师

linux TCP 和 socket 参数设置

tcp_syn_retries :INTEGER 默认值是5 对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_r...

2016-04-30 00:37:41

阅读数 7110

评论数 0

注册邮箱验证激活技术

一.思路1.数据库加三个字段,state:(0:未激活,1:激活成功),ActiCode:(放激活码),token_exptime(过期时间,用来验证激活邮件是否过期)2.用户填写资料,点击注册,插入数据成功,state字段默认是0,同时生成一个ActiCode(用传过来的邮箱、密码、和当前时间加...

2018-02-27 15:05:58

阅读数 461

评论数 0

Apache Shiro: Java的安全框架

pache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个...

2018-02-26 11:32:59

阅读数 193

评论数 0

CSRF攻击与防御

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发...

2017-11-06 15:47:33

阅读数 150

评论数 0

OAuth的机制原理讲解及开发流程

http://blog.csdn.net/alonesword/article/details/12190075 本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理...

2016-05-20 23:41:57

阅读数 314

评论数 0

OAuth2 授权分析

最近在做第三方接入的,初步定下使用OAuth2协议,花了些时间对OAuth2的授权方式做了些了解。   我还记得一两年前,跟一位同事聊起互联网时,当时我说过一个想法:   目前不少较为稀有的资源,很多都是论坛提供下载的,论坛提供的下载往往要求一个论坛帐号,更有甚者,需回帖才可见,又或者下载需要...

2016-05-20 23:38:34

阅读数 723

评论数 0

怎么阻止直接输入地址访问 html 页面

step 1. Java中应用Filter对权限和Session控制 代码如下: package com.drp.util.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servle...

2016-05-10 17:18:53

阅读数 6350

评论数 0

SQL注入攻击三部曲之进阶篇

通过入门篇的学习,我们知道了SQL注入攻击的判断方法,但是如果想侵入网站,获取网站的机密内容,那么仅靠入门篇的知识是无法达到的。本篇文章我们将进一步的分析SQL注入攻击。 首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在...

2016-05-10 12:25:46

阅读数 332

评论数 0

SQL注入攻击三部曲之入门篇

服务器安全管理员和攻击者的战争仿佛永远没有停止的时候,针对国内网站的ASP架构的SQL注入攻击又开始大行其道。本篇文章通过SQL注入攻击原理引出SQL注入攻击的实施方法,旨在企业安全管理员能够通过技术学习提升自己的安全意识。 第一节、SQL注入原理 以下我们从一个网www.mytest.co...

2016-05-10 12:24:12

阅读数 301

评论数 0

SQL注入攻击的种类和防范手段有哪些?

首先要清楚SQL注入攻击有哪些种类。 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说,下面的这行代码就会演示这种漏洞: statement := ...

2016-05-10 11:32:12

阅读数 402

评论数 0

怎样才能更好的防范 SQL inject 攻击

1.使用参数化的过滤性语句   要防御SQL注入,用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反,用户的输入必须进行过滤,或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中,SQL语句就得以修正。然后,用户输入就被限于一个参数。下面是一个使用Java和...

2016-05-10 11:12:08

阅读数 693

评论数 0

DDOS反攻击措施

1:确保服务器的系统文件是最新的版本,并及时更新系统补丁。  2:关闭不必要的服务。  3:限制同时打开的SYN半连接数目。       在Linux中执行命令"sysctl -a|grep net.ipv4.tcp_max_syn_backlog", ...

2016-04-30 00:16:59

阅读数 657

评论数 0

HTTPS

HTTPS本身并非协议,而是标准的HTTP协议架在SSL/TLS协议之上的一种结构。(一种不太合适的说法可以认为是两种协议的叠加)。HTTP是工作在OSI7层模型的最上层,就是第7层:Application Layer。而SSL/TLS是工作在第4层:Transport Layer。两层之间还是隔...

2016-04-29 20:31:02

阅读数 303

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭