jackpk的专栏

白帽子讲WEB安全

refurl：http://zhidao.baidu.com/link?url=gO88GYoDlkZIAwKgtb4Qau6O59rC8R7RCBEQhJ3DpObrIxbJXK3CmqrfxaC_WLfr907AZgdKgh_ijUd1t6rtDANUKOxpSxTGggO9d4Z6-5_1) setProtocol="TLS" will enable SSLv3 an

防钓鱼逻辑2013-03-27 10:52url： http://wsmajunfeng.iteye.com/blog/1837168我们的生活越来越离不开互联网了，越来越喜欢网购了。可是在网购的过程中，我们时不时的都会听说，某某人被钓鱼了，某某人的账号信息被到用了。作为程序员的我，回溯最近的几个年头，也有好些次差点被这些互联网上的链接给骗了。故事1： 有一天，

MessageDigest简介 2012-11-07 08:16:50url: http://hubingforever.blog.163.com/blog/static/171040579201210781650340/参考文章：http://blog.sina.com.cn/s/blog_4f36423201000c1e.html一、概述java.sec

ESAPI是一个免费、开源的Web应用程序安全控制组件，可以帮助编程人员开发低风险应用程序。 ESAPI是OWASP组织的一个开源项目，网址是： http://www.owasp.org/index.php/ESAPI ESAPI很适合一个新的开发项目的安全组件，各版本的ESAPI包含如下基本设计：1.具有一个安全接口集；2.对每一种安全控制有一种参考实现；3.对每一种安全控制可以有你自己的实现方法。很多著名的大公司开始将ESAPI作为自己保障Web应用程序安全的手段，包括美国运通公司，

数字签名是什么？url: http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html作者： 阮一峰日期： 2011年8月 9日今天，我读到一篇好文章。它用图片通俗易懂地解释了，"数字签名"（digital signature）和"数字证书"（digital certificate）到

大型网站的 HTTPS 实践（一）—— HTTPS 协议和原理2015/04/21url: http://op.baidu.com/2015/04/https-s01a01/1 前言百度已经于近日上线了全站 HTTPS 的安全搜索，默认会将 HTTP 请求跳转成 HTTPS。本文重点介绍 HTTPS 协议, 并简单介绍部署全站 HTTPS

大型网站的 HTTPS 实践（二）——HTTPS 对性能的影响2015/04/211 前言HTTPS 在保护用户隐私，防止流量劫持方面发挥着非常关键的作用，但与此同时，HTTPS 也会降低用户访问速度，增加网站服务器的计算资源消耗。本文主要介绍 https 对用户体验的影响。 2 HTTPS 对访问速度的影响在介绍速度优化策略

大型网站的 HTTPS 实践（三）——基于协议和配置的优化2015/04/21url: http://op.baidu.com/2015/04/https-s01a03/1 前言上文讲到 HTTPS 对用户访问速度的影响。本文就为大家介绍 HTTPS 在访问速度，计算性能，安全等方面基于协议和配置的优化。2 HTTPS 访

大型网站的 HTTPS 实践（四）——协议层以外的实践2015/04/21url: http://op.baidu.com/2015/04/https-s01a04/1 前言网上介绍 https 的文章并不多，更鲜有分享在大型互联网站点部署 https 的实践经验，我们在考虑部署 https 时也有重重的疑惑。本文为大家介绍百度 HTTPS 的实

全站 https 时代的号角 : 大型网站的 https 实践系列2015/04/21url: http://op.baidu.com/2015/04/https-index/ 百度网页搜索从 14 年开始对外开放了 https 的访问，并于 15 年 3 月初正式对全网用户进行了 https 跳转。从基础设施，硬件性能，互联网环境，协议发展，隐私和

扒一扒HTTPS网站的内幕野狗 2015年09月28日发布作者：王继波 野狗科技运维总监，曾在360、TP-Link从事网络运维相关工作，在网站性能优化、网络协议研究上经验丰富。野狗官博：https://blog.wilddog.com/ 野狗官网：https://www.wilddog.com/公众订阅号：wilddogbaasurl: https

互联网全站HTTPS的时代已经到来url: http://blog.csdn.net/luocn99/article/details/397777072014-10-04 09:21前言       我目前正在从事HTTPS方面的性能优化工作。在HTTPS项目的开展过程中明显感觉到目前国内互联网对HTTPS并不是很重视，其实也就是对用户隐私和网络安全不重视。

数字证书认证系统iTrusCAhttp://www.itrus.com.cn/products/2.html数字证书认证系统iTrusCAiTrusCA 介绍天威诚信iTrusCA系统是继承了国际领先的PKI/CA体系的设计思想，享有完全自主知识产权，符合国家密码管理局规范的数字证书认证系统。系统采用分布式部署架构，支持软件加密和硬件加密两种方式，可

数字证书认证管理解决方案refurl：http://www.bjca.org.cn/solutions/zsszzsgl一、方案背景　　加强以密码技术为基础的信息保护和网络信任体系，规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设，各级行政机关的网络信任体系建设立足于自身信息化建设现状，不断加强和提升网络信任体系建设能力和应用水平。　

refurl: http://blog.csdn.net/clh604/article/details/22179907图解HTTPShttp://www.cnblogs.com/zhuqil/archive/2012/07/23/2604572.html我们都知道HTTPS能够加密信息，以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务

TOMCAT 连接池数据库密码可以加密 url: http://blog.sina.com.cn/s/blog_49d63c02010006wu.html     Tomcat 连接池大家应该都用过吧，那写在server.xml里的数据用户以及密码都是明文，这样非常不安全的，如果一但知道了这个数据库名和密码获得，可想而知。那么如何实现对数据库密码加密呢，,因为喜欢开源，接下

启用了不安全的 HTTP方法url: http://www.cnblogs.com/jimor/p/3418089.html posted on 2013-11-11 16:12 jinjinwangIBM appscan安全漏洞扫描--启用了不安全的 HTTP方法 appscan修订建议: 如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要

会话标识未更新  BM appcsan扫描安全漏洞--会话标识未更新appcsan修订建议:始终生成新的会话，供用户成功认证时登录。 防止用户操纵会话标识。 请勿接受用户浏览器登录时所提供的会话标识在登录验证成功之后调用下面方法 @SuppressWarnings("unchecked")    private void createNewSession(Htt

IBM appscan扫描漏洞--跨站点请求伪造 appscan修订建议: 如果要避免 CSRF攻击，每个请求都应该包含唯一标识，它是攻击者所无法猜测的参数。建议的选项之一是添加取自会话 cookie的会话标识，使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie，若不符合，便废弃请求。攻击者无法猜测这个参数的原因是应用于 cookie的“同源策略

\

Internet Explorer无法下载 *** (来自 ***)。Internet Explorer无法打开该Internet站点。请求的站点不可用，或找不到。请以后再试。”http:

IE访问HTTPS链接下载文件，IE提示无法下载url: http://llyzq.iteye.com/blog/1330642原因： (1) 在IE6/7下，使用HTTPS下载/打开文件时，通过抓包发现文件已传输，但IE提示“Internet Explorer无法下载 *** (来自 ***)。Internet Explorer无法打开该Internet站点。请求的站点不可用，或找不

[原]ie中　https(SSL)不能下载问题解决方案 - javaeeURL: http://m.blog.csdn.net/blog/buyaore_wo/73800042012-3-21阅读2095 评论0前几天在把几个web应用配置为https (SSL)时出现了一个问题　搞了几天　查了资料才解决我在csdn的论坛上也提了这个问题可以没有人回答，这里就不详细描述

https单向/双向认证及tomcat配置https方法URL：http://itindex.net/detail/49585-https-%E8%AE%A4%E8%AF%81-tomcat发表时间：2014-05-14 14:38 | 作者：liuxiaoling https单向/双向认证及tomcat配置https方法 tomcat6配置： 1.单向认证，就

tomcat-5.0.28在https模式下无法下载文件问题解决 PS： 此web.xml中的security-constraint写法:  在tomcat-5.0.28中以http形式访问其web应用时【无法】自动跳转https  在tomcat-5.5.20中以http形式访问其web应用时【可以自动跳转到https】 环境 to

tomcat下web应用http访问自动跳转为https形式访问注意：这里的tomcat版本为tomcat-5.5.20tomcat-5.5.20正常配置httpstomcat中需要正常“http访问自动跳转为https形式访问”的web应用中的web.xml进行如下配置      OPENSSL   /*      CONFIDENTIAL 

浅谈企业核心应用的安全审计url： http://www.cnetnews.com.cn/2008/0717/991883.shtml作者： 朱闽 CNET科技资讯网7月17日国际 CNETNews.com.cn 2008-07-17 18:35:30 　　作者: 朱闽, 　出处:网界网,　责任编辑: 郭秋爽,　 2008-07-17 10:

近期同事组织了一场《信息加密与安全技术》分享，其中对于根证书的安装有讲述。期间交流中，有位同事提到12306网站的证书使用的是自己的SRCA的根证书（当然国内大部分的公司使用的是VeriSign的证书）。于是专门查阅了下关于12306网站的证书介绍方面的文章。 PK注：原文url http://www.xieyidian.com/3213 中的图片已经丢失，于是又找了下CDSN