安全防御
关注
分享
扫一扫
文章平均质量分 74
Defonds
Arcsoft云服务部门视频流服务产品技术经理。多年一线Java Web开发经历,专注高性能Web服务、Web项目架构设计。熟悉权限设计、服务集群、安全防御、设计模式、多线程并发编程、JVM内存管理、项目管理等Web开发所涉及领域以及各种开源Web开源框架,还做过一年JavaMobile开发,熟悉多个J2ME开源框架
展开
-
TCPDump:捕获并记录特定协议 / 端口
Q. 如何使用 Linux / UNIX 平台下的 TCPDump 工具捕获特定协议或端口比如 80 (http)?如何使用 TCPDump 将流记录下来,然后(根据记录)查找到问题所在? A. TCPDump 是一个用于网络监控和数据采集的工具。它可以给我们节约大量的时间,并能用于网络调试或者服务器相关的问题的解决。Tcpdump 会将通过匹配布尔表达式的网络接口的包的内容的描翻译 2013-09-09 15:00:16 · 33942 阅读 · 0 评论 -
tomcat 漏洞 CVE-2016-1240 分析报告
这次漏洞是 Debian 自身提供的 tomcat 包的漏洞,也就是 tomcat deb 包的漏洞,并非 tomcat 官方的漏洞。Debian 下使用 apt-get 安装 tomcat 的用户必须提高注意。该包提供做成服务的 tomcat.ini 脚本,该初始化脚本对 catalina.out 做了 chown 操作:touch "$CATALINA_PID" "$CATALINA_BASE原创 2016-10-11 16:02:55 · 7450 阅读 · 0 评论 -
为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验
2017 年起 app store 要求 app 对接的服务器支持 TLS v1.2,否则 ats 检测不予通过。有点强制推 TLS v1.2 的意味。本文介绍如何使 tomcat 强制执行 TLS v1.2、完全正向加密。本文示例 tomcat 版本 7.0.68,jdk 版本 1.7.0。笔者强烈推荐在 DNS 解析层或反向代理服务层做这件事情,不建议放在 tomcat 这一层做。如果你非要在原创 2017-01-12 09:08:55 · 13892 阅读 · 0 评论 -
SOA 安全概览
SOA 服务具备清除边界和技术差异的能力。这给我们带来了一个灵活和可定制的架构,但是同时也带来了大量的安全挑战。以下是 SOA 安全的相关的一些方面:SOA 的安全不仅仅是一个技术问题 - 对于任意 SOA 安全解决方案来讲都会面临业务和技术两方面的问题。SOA 安全不仅要考虑到服务层面,而且还要兼顾组织和基础设施层面。原文链接:Soa Security From 50000 Feet,发布日期:翻译 2017-04-11 18:02:42 · 8303 阅读 · 0 评论 -
实现 SOA 安全的简单方法
SOA 安全实现起来可以是非常容易的 - 前提是你选择的方式要正确。松耦合的、可发现的、可共用的安全工具一个简单的工具:WS-Security 对 web services 进行了加强,为 SOA 安全提供了你需要的一切:访问控制、加密、信任、传输安全以及不可抵赖。消息示例WS-Security 将时间戳、授权、凭证、令牌、签名以及加密信息添加到 SOAP 消息头里面。SOAP 消息的 body翻译 2017-03-06 13:52:22 · 9975 阅读 · 0 评论 -
SOA 的安全挑战
每个人都知道 SOA 的安全将会是一个挑战。但是为什么呢?经常会使 SOA 安全复杂化的 9 个要素:遗留应用的安全将服务和应用松耦合跨组织界限操作的服务动态的信任关系组合服务形形色色的新老技术混杂需要不断地遵循越来越多的标准列表解决方案的灵活性和可以定制性的要求1. 遗留应用的安全封装了遗留应用的 SOA 服务必须要考虑到遗留应用的安全模型。很多遗留应用有着硬编码的、专有的安全模型。2. 将服务翻译 2017-02-22 16:25:31 · 8993 阅读 · 1 评论 -
仅需 90 秒,了解 WSS (主流 SOA 安全工具)
Web Service 安全 (WSS) 是对 SOAP 协议的一个安全加固。WSS 允许对 SOAP 消息进行签名和加密。它还允许给 SOAP 消息附加安全令牌。可以扩展的体系结构WSS 拥有一个可以扩展的体系结构,能够支持可插拔的签名格式以及加密算法。WSS 还支持各种安全令牌,包括 X.509 证书、Kerberos 认证、用户名/密码、SAML 安全标记以及自定义令牌。WSS 并不保证安全翻译 2017-02-21 09:47:38 · 10830 阅读 · 0 评论 -
为何安全专家都厌恶 SOA
乍看之下 SOA 的安全似乎没有什么特别之处。毕竟,它 (和其它架构场景一样) 涉及相同的基本主题,如认证、授权、身份、信任、机密性、完整性以及策略管理。尽管如此,SOA 架构其实更加难以进行安全把控 - 足以让安全分析师累成狗。1. 安全不能够违反 SOA 设计原则SOA 服务是可以服用的、松耦合的、可以发现以及可协同的。安全不能够妨碍 SOA 的 9 大设计原则。2. 遗留的安全模型SOA 常翻译 2017-05-04 09:18:00 · 8971 阅读 · 0 评论 -
理解 Java 的 keytool 工具,如何使用 .crt 文件,解决证书相关问题
Java 的 keytool 工具可以用于 https 连接,能够只允许经过授权的客户访问。任意工具或者 Java 代码都可以使用一个安装好的证书来访问服务器。Java keytool 是如何工作的也许你想让你的服务器可以公开访问,但仅限于特定的团队或组织。或者你为企业构建了一个基础设施并希望它是安全的。在这种情况下你就需要一些手段来控制谁可以使用特定的服务了。诸如此类的资源应该保护起来以...翻译 2018-12-19 15:41:56 · 8440 阅读 · 1 评论 -
Apache HttpClient 的 HTTPS 调用实现
本文将详细介绍如何使用 Apache HTTPClient 库来进行安全的 HTTP(HTTPs) 调用。最简单的办法当然是忽视 ssl 证书并信任任何连接。但这种方式对于生产代码是不能接受的,因为它违背了使用 HTTPS 的初衷。尽管如此,在某些场景下,如果你想尽快尝试 HTTPS 的话你也可以选择这种方式。信任任意证书 (简单,但不建议用于生产代码)import javax.net.ss...翻译 2019-01-22 14:41:57 · 23061 阅读 · 1 评论 -
Java 进行 RSA 加解密时不得不考虑到的那些事儿
1. 加密的系统不要具备解密的功能,否则 RSA 可能不太合适公钥加密,私钥解密。加密的系统和解密的系统分开部署,加密的系统不应该同时具备解密的功能,这样即使黑客攻破了加密系统,他拿到的也只是一堆无法破解的密文数据。否则的话,你就要考虑你的场景是否有必要用 RSA 了。2. 可以通过修改生成密钥的长度来调整密文长度生成密文的长度等于密钥长度。密钥长度越大,生成密文的长度也就越大,加密的速度也就越慢原创 2015-01-16 11:56:05 · 123094 阅读 · 24 评论 -
电子商务网站互联网安全防御攻略
电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。原创 2014-12-09 18:00:16 · 14678 阅读 · 13 评论 -
对你的 REST API 进行保护的正确办法
计好一个漂亮的 REST + JSON API 之后,如何对你的 API 进行保护?在 Stormpath,我们花了 18 个月来寻找最佳实践,将其一一实践于 Stormpath API 中并分析其效果。本文将阐述如何保护 REST API。翻译 2015-08-17 20:37:49 · 10336 阅读 · 0 评论 -
Nginx 开启 debug 日志的办法
一般来讲,Nginx 的错误日志级别是 error,作为 Nginx 用户来讲,你设置成 info 就足够用了。但有时有些难以挖掘的 bug,需要看到更详细的 debug 级别的日志,这时候,单单把 error_log 级别设置成 debug 是不行的,Nginx 记录下来的还是 info 级别以上的信息。你需要激活 Nginx 的 debug 日志才可以得到 debug 级别的日志信息。本文简要介绍了 Nginx debug 日志的激活和配置使用。翻译 2013-09-12 17:30:05 · 78058 阅读 · 0 评论 -
使用安全令牌保护 RTMP 流
本文就如何使用安全令牌对 Wowza 媒体服务器的直播流或者点播流进行保护的过程进行探讨,就服务器端和客户端配置分别进行了详细描述。翻译 2014-01-21 20:14:03 · 11630 阅读 · 0 评论 -
J2ME 混淆器的使用:安装 Proguard4.2 至 eclipse
J2ME 混淆器的使用:安装 Proguard4.2 至 eclipse Proguard4.2.zip 下载链接地址 在 Eclipse 环境下打包,右击工程名,选择 J2ME,再选择 create obfuscated package 后就弹出一个警告框,上面内容是这样的: Proguard is not correctly configured Please con原创 2009-11-09 11:39:00 · 10436 阅读 · 2 评论 -
Java 混淆器 RetroGuard
Java 代码编译后生成的 .class 中包含有源代码中的所有信息(不包括注释),尤其是在其中保存有调试信息的时候。所以一个按照正常方式编译的 Java .class 文件可以非常轻易地被反编译。反编译工具有很多种,其中非常强大的一种是 jad。为了避免出现这种情况,保护开发者的劳动,又有一种叫做 Java 混淆器的工具被开发出来。Java 混淆器的作用是对编译好的代码进行混淆,使得其无法被反编译或者反编译后的代码混乱难懂。Java 混淆器也有很多种,其中比较强大的一种是 RetroGuard(只说比较强转载 2010-07-19 10:45:00 · 4617 阅读 · 0 评论 -
CSRF 原理以及 Struts2 令牌校验防御攻略解析
struts2 token 不仅能够有效防止表单重复提交,而且还可以进行 CSRF 验证。CSRF 攻击原理如下图:CSRF 攻击原理图事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已。用户实在冤枉啊:我没有上乱七八糟的网站,怎么也中招了呢?struts2 token 校验原理如图所示:Struts2 token 验证原理图对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将原创 2015-01-06 16:31:52 · 10465 阅读 · 0 评论 -
Java 进行 RSA 加解密的例子
加密是保证数据安全的手段之一。加密是将纯文本数据转换为难以理解的密文;解密是将密文转换回纯文本。数据的加解密属于密码学的范畴。通常,加密和解密都需要使用一些秘密信息,这些秘密信息叫做密钥,将纯文本转为密文或者转回的时候都要用到这些密钥。对称加密指的是发送者和接收者共用同一个密钥的加解密方法。非对称加密(又称公钥加密)指的是需要一个私有密钥一个公开密钥,两个不同的密钥的加解密体系。尽管不同,这个密钥翻译 2015-01-14 11:56:09 · 5624 阅读 · 0 评论 -
图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证
1. 安装 nginx1.1 nginx 包及其依赖包下载出于模块的依赖性,Nginx 依赖以下三个包:gzip 模块需要 zlib 库(http://www.zlib.net/);rewrite 模块需要 pcre 库(http://www.pcre.org/);ssl 功能需要 openssl 库(http://www.openssl.org/);分别下载它们的最新稳定版(截至本文最新稳定版分原创 2015-03-18 15:54:23 · 15502 阅读 · 2 评论 -
CentOS 下对 Nginx + Tomcat 组合的申请 SSL 证书的安装
《CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》介绍的是自己给自己颁发服务器端证书、然后再给客户端颁发证书的情况。如果你已经像你的客户一样厌倦了访问你们的网站时,浏览器弹出的安全警报,那就去申请一个 SSL 证书,如 VeriSign、GlobalSign,一般是几千块钱一年的有效期。本文介绍对于 Nginx + Tomcat 组合的 SSL 购买原创 2015-05-20 11:46:32 · 3916 阅读 · 0 评论 -
Linux 安全系列教科书之 HTTPS 是如何工作的?- 初学者指南
证书颁发机构是互联网安全的最重要的基础之一。在没有人可以被信任时,证书颁发机构是首先被所有人所信任的人。之后,此证书颁发机构 (又名 CA) 的任务是确保服务器和客户端通过互联网建立通信之前先建立它们之间的信任。CA 的重要性不仅体现在浏览器和 web app 所使用的 HTTPS,还包括加密邮件、带签名的软件更新、VPN 以及众多其他领域。我们将以 HTTPS 例子为原型,在这一特定的上下文中学...翻译 2019-02-01 11:02:11 · 542 阅读 · 0 评论