信息安全技术
博文视点
IT出版旗舰品牌,由电子工业出版社计算机分社以专业化力量打造。以开发IT类图书选题为主业,散播专业知识,善待作者,尊重读者,诚邀天下技术精英加盟。
展开
-
安全云服务的定义和特征
安全云服务的定义和特征将云计算技术应用于网络安全领域,将网络安全能力和资源云化,并且通过互联网为客户提供按需的网络安全服务,从而实现一种全新的网络安全服务模式,这种安全服务模式通常称为安全即服务(Security as a Service),往往也简称为SaaS。为了避免与云计算模式的软件即服务(Software as a Service,SaaS)相混淆,在本书中将这种业务模式称为安全云原创 2012-05-09 09:58:20 · 2380 阅读 · 0 评论 -
ZeroMQ:云时代极速消息通信库
ZeroMQ:云时代极速消息通信库(大规模|可扩展|低成本|高效率解决之道,大规模分布式|多线程应用程序|消息传递架构构建利器)【美】Pieter Hintjens(皮特.亨特金斯)著 卢涛 李颖 译ISBN 978-7-121-25311-92015年3月出版定价:108.00元 536页16开编辑推荐请潜心研究ØMQ(又名ZeroMQ)这个智能套接字库,原创 2015-03-23 10:22:50 · 4124 阅读 · 0 评论 -
Netty权威指南
Netty权威指南(异步非阻塞通信领域的经典之作,国内首本深入剖析Netty的著作,全面系统讲解原理、实战和源码,带你完美进阶Netty工程师。)李林锋 著 ISBN 978-7-121-23343-22014年6月出版定价:79.00元 524页16开编辑推荐- 资深一线专家诚意之作,总结多年实践经验,带你全面掌握Java高并发异步通信的首选框架——Netty原创 2014-06-18 09:58:42 · 3857 阅读 · 0 评论 -
数据可视化
在确定数据可视化为自己研究主题之初,我经常上网搜寻相关资料。但是初期的收集经常是杂乱无章,缺乏系统规划的。以至于我产生了三个困扰我的问题,分别是: 1. 信息可视化与数据可视化,到底有什么区别?或者说infographics 与visualization之间有何区别? 2.data visualization就是数据挖掘之后的用于显示结果的统计图吗? 3.曾经在知乎上看见某资深程序员直原创 2014-06-04 15:58:58 · 3950 阅读 · 0 评论 -
模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)
模糊测试——强制发掘安全漏洞的利器(Jolt大奖精选丛书) 【美】Sutton, M.Greene, A.Amini, P.著段念赵勇译ISBN 978-7-121-21083-92013年10月出版定价:89.00元564页16开内容提要随 着软件安全性问题变得越来越关键,传统的仅由组织内的少数安全专家负责安全的模式正受到越来越多的挑战。模糊测原创 2014-01-02 16:04:47 · 2170 阅读 · 0 评论 -
游戏外挂攻防艺术
游戏外挂攻防艺术(游戏外挂内幕首度解密 国内唯一相关权威著作)徐胜 著2013年2月出版ISBN978-7-121-19532-7定价:59.00元256页16开编辑推荐广义的外挂随处可见,一度喧嚣尘上的抢票浏览器其实就是外挂行为。对于游戏而言,外挂是一种通过篡改特定网游的部分程序而实现作弊的第三方软件。游戏外挂的涌现与游戏官方的抵制相伴相生,互相促进着对方技术原创 2013-03-29 10:54:50 · 5819 阅读 · 1 评论 -
Cookie安全
Cookie安全Cookie是一个神奇的机制,同域内浏览器中发出的任何一个请求都会带上Cookie,无论请求什么资源,请求时,Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie,大多数情况下,客户端通过JavaScript也可以添加、修改和删除Cookie。由于这样的机制,Cookie经常被用来存储用户的会话信息,比如,用户原创 2013-02-20 16:44:08 · 4535 阅读 · 0 评论 -
XSF挖掘思路
XSF即Cross Site Flash。很多网站的Flash播放器都会有XSF风险,因为这些播放器需要能够灵活加载第三方Flash资源进行播放。不过这样的XSF风险其实非常小,因为浏览器直接访问Flash文件时,安全沙箱的限制是很严格的。所以,下面分析的nxtv flash player只需了解思路即可,这样的XSF漏洞在这样的场景下毫无价值,有价值的是思路。漏洞文件:http://vi原创 2013-02-20 16:47:52 · 2810 阅读 · 0 评论 -
浏览器的同源策略
浏览器的同源策略古代的楚河汉界明确规定了楚汉两军的活动界限,理应遵守,否则必天下大乱,而事实上天下曾大乱后又统一。这里我们不用管这些“分久必合,合久必分”的问题,关键是看到这里规定的“界限”。Web世界之所以能如此美好地呈现在我们面前,多亏了浏览器的功劳,不过浏览器不是一个花瓶——只负责呈现,它还制定了一些安全策略,这些安全策略有效地保障了用户计算机的本地安全与Web安全。 注:计原创 2013-02-20 16:46:32 · 7544 阅读 · 0 评论 -
身份认证设计的基本准则
身份认证设计的基本准则密码长度和复杂性策略密码认证作为当前最流行的身份验证方式,在安全方面最值得考虑的因素就是密码的长度。一个强度高的密码使得人工猜测或者暴力破解密码的难度增加。下面定义了高强度密码的一些特性。(1)密码长度对于重要的应用,密码长度最少为6;对于关键的应用,密码长度最少为8;对于那些最关键的应用,应该考虑多因子认证系统。(2)密码的复杂度有的时候仅有长度原创 2013-01-08 13:02:12 · 1827 阅读 · 1 评论 -
保护你的会话令牌
保护你的会话令牌通常我们会采取以下的措施来保护会话。1.采用强算法生成Session ID正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面一段设置原创 2013-01-07 09:29:33 · 3343 阅读 · 0 评论 -
以拯救之因 强制恢复导致ORA-600 4000错误案例
以拯救之因 强制恢复导致ORA-600 4000错误案例 我曾在一本书上写道:一知半解比无知更可怕。一知半解的草率行事可能使数据库遭受意想不到的灾难,所以在接触一个数据库时,如果没有相当的把握,请谨慎操作,不要让自己和数据库陷入未知的危险境地。最基本的是,如果不可避免地要进行某些危险的维护性操作,应当在之前做好备份。在面对数据时,无知者不能无畏。灾难描述2011年12原创 2012-07-19 16:05:25 · 1859 阅读 · 0 评论 -
以优化之名
以优化之名存储优化导致表空间误删除案例一人蛇先成,引酒且饮之,乃左手持卮,右手画蛇曰:“吾能为之足!”为蛇足者,终亡其酒。——《战国策•齐二》嘉招欲覆杯中渌,丽唱仍添锦上花。——宋•王安石《即事》宁锦上添花,勿画蛇添足。在很多数据灾难中,我们看到很多原本是可有可无的操作,或者是锦上添花的工作,最后却由于处置不当、准备不足或认知不够,导致了数据灾难,当事人后悔不迭。所原创 2012-07-16 15:58:34 · 1754 阅读 · 0 评论 -
Oracle DBA手记4:数据安全警示录
Oracle DBA手记4:数据安全警示录盖国强 著ISBN978-7-121-17206-92012年7月出版定价:65.00元16开404页宣传语灾难与拯救 全真全程商业案例!内 容 简 介这是一本写给大家看的数据安全之书,不仅仅是给技术人员,更重要的是给企业数据管理者,如果不看这些案例,你也许永远不会理解数据库为何会遭遇到灭顶之灾,你也许永远无法理解为原创 2012-07-13 16:43:40 · 7003 阅读 · 0 评论 -
框架与CSRF防御
框架与CSRF防御CSRF攻击的目标,一般都会产生“写数据”操作的URL,比如“增”、“删”、“改”;而“读数据”操作并不是CSRF攻击的目标,因为在CSRF的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用户之手触发服务器动作,所以读数据对于CSRF来说并无直接的意义(但是如果同时存在XSS漏洞或者其他的跨域漏洞,则可能会引起别的问题,在这里,仅仅就CSRF对抗本身进行讨论)。原创 2012-04-12 19:22:33 · 1839 阅读 · 0 评论 -
入侵特斯拉——智能汽车安全性分析
特斯拉汽车一直受到黑客的关注,很多安全研究人员都尝试过挖掘特斯拉汽车的漏洞,主要原因是特斯拉是纯电动汽车并且有网络连接,可以通过网络对汽车进行控制,而且特斯拉本身也非常依赖电子控制系统。本文就来分析特斯拉已经出现过的问题。此漏洞已经修复,本文只是为了让读者了解漏洞原理以便应用到工作中,使汽车变得更安全。一直以来特斯拉被认为比其他具有网络连接功能的汽车更安全,可以作为联网汽车的楷模,尽管特斯拉时不时原创 2017-11-13 14:35:17 · 2116 阅读 · 0 评论