收集盒 Book box

大多数文章收集自互联网

PHP安全编程:记住登录状态的安全做法

永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。 据我观察,最常...

2015-09-28 20:31:19

阅读数 628

评论数 0

apache双向HTTPS SSL认证配置

注意: 如果报找不到 OPENSSL.CNF文件的错误,可以到网上下一个,然后用 -config openssl.cnf来指定这个配置文件的位置,或放到报错时提示的指定位置   1.生成根证书的KEY, 1024的意思是RSA加密位数,必须为2的N次方,一般用1024即可。 ...

2015-09-28 00:35:56

阅读数 640

评论数 0

优化LINUX内核阻挡SYN洪水攻击

SYN洪水攻击(SYN Flooding Attack)即是指利用了 TCP/IP 三次握手协议的不完善而恶意发送大量仅仅包含 SYN 握手序列数据包的攻击方式。该种攻击方式可能将导致被攻击计算机为了保持潜在连接在一定时间内大量占用系统资源无法释放而拒绝服务甚至崩溃。如果在Linux服务器下遭受S...

2015-09-28 00:30:40

阅读数 861

评论数 0

安全cookie登录状态设计方案

上篇文章刚介绍了cookie based session,那么,如何保存cookie登录的状态安全性? 我们知道web是基于HTTP协议传输的,明文传输是极其危险的,随便哪个抓包工具分析下数据包,就over啦,一个加密的传输过程应该包括两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一...

2015-09-28 00:27:02

阅读数 1496

评论数 1

利用HttpOnly来防御xss攻击

xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。 如下js获取cookie信息:  url=d...

2015-09-28 00:25:50

阅读数 615

评论数 0

网站目录文件权限的简单安全设置

网站目录文件权限的设置对网站的安全至关重要,下面简单介绍网站目录文件权限的基本设定。 我们假设http服务器运行的用户和用户组是www,网站用户为centos,网站根目录是/home/centos/web。 1、我们首先设定网站目录和文件的所有者和所有组为centos,www,如下命令: ...

2015-09-27 00:48:41

阅读数 1294

评论数 0

win8 win10 安装msi 提示2502、2503的错误代码

前言: 归根到底是权限不够导致的。win7应该不会有这个问题。 问题发生: 换了个电脑,装个win10预览版玩玩,发现python的msi安装文件安装不了。错误代码是2502。 其实我已经在win8上安装mysql的时候遇到过,那个时候解决了,可是方法用在win10上无效,...

2015-09-21 02:37:10

阅读数 895

评论数 0

win10安装软件 错误解决

遇到错误 “called runscript when not marked in progress” ,或者其他错误! 尝试解决办法: 1、进入任务管理器  > 详细信息 >  找到 Explorer.exe > 右击 结束任务。 2、在任务管理器的左上方...

2015-09-21 01:02:44

阅读数 1432

评论数 0

Photoshop 输入文字看不见 或者光标超小 解决!

Photoshop 输入文字看不见 或者光标超小 解决! 图像——图像大小——分辨率——72

2015-09-08 16:17:56

阅读数 1434

评论数 0

绕过XSS过滤规则 : Web渗透测试高级XSS教程

相信大家在做渗透测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xss detected,这样的话我们的XSS就不生效了,下面就教大家几种简单的绕过XS...

2015-09-07 14:24:26

阅读数 1208

评论数 0

使用ettercap 进行ARP欺骗和DNS欺骗

第一部分 ARP欺骗 第一步:启动图形界面的etterca 第二步扫描具体局域网所有主机 1、点击第一个,然后选择网卡,我的是eth0 2、然后扫描主机,限制性1,后执行2列出所有内网主机 3、选择需要欺骗的主机,分别添加到目标1和目标2 ...

2015-09-07 14:22:37

阅读数 4539

评论数 0

Python http 请求笔记

python requests的安装与简单运用 http://www.zhidaow.com/post/python-requests-install-and-brief-introduction Python 第三方 http 库-Requests 学习 http://...

2015-09-07 14:21:13

阅读数 419

评论数 0

XssSniper 扩展介绍

XssSniper 扩展介绍 一直以来,隐式输出的DomXSS漏洞难以被传统的扫描工具发现,而XssSniper是依托于Chrome浏览器的扩展,通过动态解析可以快速准确的发现DomXSS漏洞。 此外,本扩展不仅可以发现隐式输出的XSS,还可以发现显示输出的DomXSS,反射式...

2015-09-07 13:46:53

阅读数 649

评论数 0

Twitter 帐号申请解封

转载自:http://www.1990day.com/recover-twitter-account/  前几天用了第三方APP “twitter+” 下载twitter视频,尝试好几次发送推文一直发送不出去,后来想到可能是twitter+被推特官方限制了,随即删掉这个插件,使用twitte...

2015-09-05 20:18:17

阅读数 7159

评论数 0

解决Sublime Text 3 乱码

转载自:http://www.1990day.com/solve-sublime-text3-garbled/ 1、打开Sublime Text 3,按Ctrl+~打开控制行,复制粘贴以下python代码,然后回车运行。  复制并粘贴如下代码: import urllib.request,os,...

2015-09-05 20:16:22

阅读数 434

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭