安全、网络等概念
关注
分享
扫一扫
文章平均质量分 61
conkeyn
a
展开
-
HTTP 头参考
HTTP 请求和 HTTP 响应都使用头发送有关 HTTP 消息的信息。头由一系列行组成,每行都包含名称,然后依次是冒号、空格、值。字段可按任何顺序排列。某些头字段既能用于请求头也能用于响应头,而另一些头字段只能用于其中之一。 许多请求头字段都允许客户端在值部分指定多个可接受的选项,有时甚至可以对这些选项的首选项进行排名。多个项以逗号分隔。例如,客户端可以发送包含“Content-Enco...原创 2008-08-17 11:51:58 · 100 阅读 · 0 评论 -
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
源自:http://www.cnblogs.com/chnking/archive/2007/08/18/860983.html 一、 获得证书... 21、 从CA获得... 22、 从windows2003证书服务中获得... 23、 使用makecert工具获得... 2二、 证书的保存... 21...原创 2010-03-03 16:40:04 · 207 阅读 · 0 评论 -
使用X.509数字证书加密解密实务(二)-- 使用RSA证书加密敏感数据
源自:http://www.cnblogs.com/chnking/archive/2007/08/30/875947.html RSA证书加、解密敏感数据 X.509证书标准支持三种不对称加密算法:RSA, DSA, Diffie-Hellman algorithms。最常用的是RSA算法。所以本文就以前面章节使用makecert工具生成的生成的MyTestCert证书进行加密...原创 2010-03-03 16:52:00 · 149 阅读 · 0 评论 -
使用X.509数字证书加密解密实务(三)-- 使用RSA证书结合对称加密技术加密长数据 ...
上一章节讨论了如何使用RSA证书加密数据,文中提到:“Dotnet的RSA实现有个特点,它必须要在明文中添加一些随机数,所以明文不能把128字节占满,实际测试,明文最多为117字节,留下的空间用来填充随机数”。也就是说对于1024位密钥的RSA来说,一次只能加密128字节的数据,对于Dotnet的RSA实现更是只能加密117个字节的数据。这就引出一个问题,超过128字节(或者说超过117...原创 2010-03-03 17:00:36 · 178 阅读 · 0 评论 -
HTTP 1.1状态代码及其含义
下表显示了常见的HTTP 1.1状态代码以及它们对应的状态信息和含义。 应当谨慎地使用那些只有HTTP 1.1支持的状态代码,因为许多浏览器还只能够支持HTTP 1.0。如果你使用了HTTP 1.1特有的状态代码,最好能够检查一下请求的HTTP版本号(通过HttpServletRequest的getProtocol方法)。 状态代码 状态信息 含义 100 Continue...原创 2011-10-20 10:16:46 · 196 阅读 · 0 评论 -
XSS跨站脚本攻击在Java开发中防范的方法
转自:http://hi.baidu.com/hkr_tam/item/15843028b839d5ae9d63d138XSS攻击原理: XSS 属 于被动式的攻击。攻击者先构造一个跨站页面,利用script、<IMG>、<IFRAME>等各种方式使得用户浏览这个页面 时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点...原创 2014-02-27 09:48:19 · 246 阅读 · 0 评论 -
XSS跨站脚本攻击在Java开发中防范的方法
详细描述跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码。 成功的跨站脚本攻击所带来的主要问题包括: 帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话,并以访问ULR用户的权限执行操作,如发布数据库查...原创 2014-02-27 16:14:09 · 539 阅读 · 0 评论 -
链接注入漏洞
详细描述“链接注入”是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。 在这些可能的攻击中,有些需要用户在攻击期间登录站点。攻击者从这一易受攻击的站点本身启动这些攻击,成功的机会比较大,因为用户登录的可能性更大。 “...原创 2014-02-27 16:20:20 · 4936 阅读 · 0 评论 -
框架注入漏洞
2详细描述攻击者有可能注入含有恶意内容的 frame 或 iframe 标记。如果用户不够谨慎,就有可能浏览该标记,却意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。解决办法建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号...原创 2014-02-27 16:21:06 · 5618 阅读 · 0 评论 -
cookie的secure、httponly属性设置
转载自:http://www.cnblogs.com/alanzyy/archive/2011/10/14/2212484.html一、属性说明:1 secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体...原创 2014-03-04 16:19:18 · 1900 阅读 · 0 评论 -
解决PKIX:unable to find valid certification path to requested target 的问题
转自:http://blog.csdn.net/faye0412/article/details/6883879这两天在twitter服务器上忽然遇到这样的异常:e: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPat...原创 2016-05-11 17:11:57 · 253 阅读 · 0 评论 -
X.509 数字证书结构和实例
源自:http://www.cnblogs.com/chnking/archive/2009/12/02/872104.html一、 X.509数字证书的编码 X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN1语法进行编码。ASN1采用一个个的数据块来描述整个数据结构,每个数据块都有四个部分组成:1、数据...原创 2010-03-03 16:36:32 · 547 阅读 · 0 评论 -
CA基本常识:X.509标准
原文连接: http://www.cnblogs.com/bjrmt/archive/2006/08/17/479728.html 在和CA进行一些接触时,我们常常会听到一个名词: X.509。它是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作...2010-03-03 16:21:46 · 372 阅读 · 0 评论 -
安全认证相关文档
PKCS#11 中文手册原创 2010-03-02 15:59:28 · 178 阅读 · 0 评论 -
TCP封包格式
一直以来人们总爱将TCP和IP合在一起来讲是因为它们之间的密切关所至。同时我们也知道IP工作於网路层而TCP则工作於传送层故此它们的封包格式却是不一样的。 TCP封包格式 下面就让我们看一看TCP封包的格式 Source Port (16) | Destination Port (16) Sequence Number (32) Acknowledgment Number (3...原创 2008-08-17 11:54:42 · 715 阅读 · 0 评论 -
网页播放器代码详解
网页播放器代码详解<object classid="clsid:22D6F312-B0F6-11D0-94AB-0080C74C7E95" id="MediaPlayer1" width="286" height="225"> <param name="AudioStream" value="-1"> <pa原创 2008-10-15 14:02:47 · 130 阅读 · 0 评论 -
怎么输入特殊符号(在Word,Excel,etc)
备注:平时我们经常会用到一些特殊符号的输入法,有时实在不知道怎么输入就直接用文字代替了。今天刚好也用到直径的输入法,但不知道如何操作,就在网上搜了一下,找到如下的一些特殊符号的输入法,也许可以解大家的不时之需! 1、特殊符号用True Type Font的输入的一种方法,按下Alt不放之后输入xxxx–四个数字,如...原创 2009-01-07 10:07:43 · 628 阅读 · 0 评论 -
java 项目的安全学习地址
java 项目的安全学习地址: http://www.ja-sig.org/wiki/display/CASUM/Demo 学习例子http://www.richmap.cn/com/zone?act=ONEARTICLE&articleid=2oCADx4WjssJ http://www.idcnews.net/html/edu/20080505/303956.ht...原创 2009-02-01 16:07:49 · 113 阅读 · 0 评论 -
密钥库文件格式(Keystore)和证书文件格式(Certificate)
密钥库文件格式【Keystore】 格式 : JKS 扩展名 : .jks/.ks 描述 : 【Java Keystore】密钥库的Java实现版本,provider为SUN 特点 : 密钥库和私钥用不同的密码进行保护 格式 : JCEKS 扩展名 : .jce 描述 : 【JCE Keystore】密钥库的JCE实现版...原创 2009-02-05 15:56:41 · 1135 阅读 · 0 评论 -
CA系统、证书常识
1.什么是CA CA是Certification Authoritcation的缩写,即证书颂发机构,他是一个负责发放和维护证书的实体,一般是第三方的。 2.什么是证书 证书就是数字化的文件,里面有一个实体(网站,个人等)的公共密钥和其他的属性,如名称、CA信息、加密算法等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。 3.加密算法都有哪些...原创 2009-02-05 15:58:21 · 1291 阅读 · 0 评论 -
详解公钥、私钥、数字证书的概念
http://pepa.iteye.com/blog/250991 加密和认证 首先我们需要区分加密和认证这两个基本概念。 加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的...原创 2009-02-05 15:59:11 · 171 阅读 · 0 评论 -
JA-SIG(CAS)学习笔记1
实验步骤: STEP 1,搭建Java Web服务器环境 casclient.jar下载地址:http://www.ibiblio.org/maven/cas/jars/cas.war下载地址:http://www.jasig.org/cas/download安装 JDK + Tomcat 6.0.14 , HTTP端口8080 , HTTPS端口8443 JAVA_HOME = ...原创 2009-07-15 01:16:00 · 117 阅读 · 0 评论 -
公钥系统_数字签名_数字证书工作原理入门 (转)
公钥系统/数字签名/数字证书工作原理入门 (转) 译者按:加密和解密使用同一个密钥的算法,称为对称加密算法;加密和解密使用的是不同的密钥,称为非对称加密算法,公钥系统即属于非对称加密算法。对于对称加密而言,需要着重保护的是对称密钥,对于公钥算法而言,需要着重保护的是私钥。公钥加密算...原创 2009-02-24 07:27:26 · 160 阅读 · 0 评论 -
openssl使用手册
OpenSSL有两种运行模式:交互模式和批处理模式。直接输入openssl回车进入交互模式,输入带命令选项的openssl进入批处理模式。(1) 配置文件OpenSSL的默认配置文件位置不是很固定,可以用openssl ca命令得知。你也可以指定自己的配置文件。当前只有三个OpenSSL命令会使用这个配置文件:ca, req, x509。有望未来版本会有更多命令使用配置...原创 2009-08-04 10:28:35 · 1871 阅读 · 0 评论 -
客户端用https连接服务器的一点心得
转自:http://dannyyuan.blog.51cto.com/212520/118351 项目需要用https与服务器进行连接,获取系统需要的一些配置参数。以前是用http进行连接的,客户端代码比较简单,直接使用URL类进行连接并获取输入流即可。试着在浏览器中输入相应的https连接地址,提示证书确认,确认以后就访问到内容了。 改成https以后碰到了一些问题。原以...原创 2016-05-11 17:13:38 · 257 阅读 · 0 评论