网络安全
关注
分享
扫一扫
春风化作秋雨
学而思,思而学
展开
-
常见弱口令字典表,大家避免,安全很重要
dmint35tqw3@5dzxcP@55w0rd@dmin123@dmin888r00t123123456123451234r00t123qw3rtyt35t1231q2w334r1q@z2w5xq@zw5x123qw3123q@z01234567123456781q2w33@6c1230kmnji123456789q1w233r4w36@dmin1q2w#E$R1q@z@WSX。原创 2023-08-17 13:58:34 · 8790 阅读 · 0 评论 -
常见弱口令大全
password12345612345678123456789123451234qwerty1111111234567dragon123123baseballabc123footballmonkeyletmein696969shadowmaster666666qwertyuiop123321mustang1234567890michael654321pussysuperman1qaz2wsx7777777fuckyou121212000000。原创 2022-07-24 18:25:29 · 6157 阅读 · 0 评论 -
跨域解决方案
1、服务器端整体,支持跨域,设置 CORS 等于 *。2、服务器端API接口,使用注解 @CrossOrigin 允许跨域访问。3、前端,使用 jsonp 跨域。原创 2021-12-18 22:30:36 · 267 阅读 · 1 评论 -
get 请求和 post 区别
1、get 请求传递参数有大小限制,使用相对简单;post 没有大小限制。2、get 请求传递参数会明文拼写在 url 上;post请求则不是,post 请求传输参数更安全。3、get 请求会被浏览器主动缓存,而 post 请求不会。如下两种能请求区别curl http://47.102.168.36:8061/api/get/1curl http://47.102.168.36:8061/api/get?id=1curl -i -X POST \http://47.10..原创 2021-12-18 22:07:57 · 422 阅读 · 1 评论 -
OSI 的七层模型
由底层到应用层如下:1、物理层利用传输介质,为数据链路层提供物理连接,实现比特流的透明传输。2、数据链路层负责建立和管理节点间的链路。3、网络层通过路由选择算法,为报文或分组通过通信子网选择最适当的路径。4、传输层向用户提供可靠的端到端的差错和流量控制,保证报文的正确传输。5、会话层向两个实体的表示层提供建立和使用连接的方法。6、表示层处理用户信息的表示问题,如编码、数据格式转换和加密解密等。7、应用层直接向用户提供服务,完成用户在网络上的各种工作。原创 2021-12-18 22:00:39 · 2478 阅读 · 1 评论 -
TCP三次握手
TCP连接必须要三次握手,才能确保传输有效性。若采用两次握手,则只要服务器发出确认数据包后,就会确立建立连接;此时,如果客户端没有向服务器端发起请求,那么服务器端就一直在等待客户端。如此,服务器端就存在资源被空占的可能。接上,采用三次握手,服务器端如果没收到客户端的再此确认,则判定客户端并没有要求建立请求,也就不会浪费服务器的资源。参考:淘宝二面,面试官居然把TCP三次握手问的这么详细_HollisChuang's Blog-CSDN博客...原创 2021-12-18 21:54:42 · 761 阅读 · 1 评论 -
TCP 和 UDP的区别
TCP和 UDP都是 OSI 模型中运输层中的协议。两者区别:1、TCP提供可靠通信传输;UDP用于让广播和细节控制交给应用的通信传输,如视频播放。2、TCP 面向连接;UDP 面向非连接,即发送数据前不需要建立链接。3、TCP 面向字节流;UDP 面向报文。4、TCP 数据传输慢,每次传输都需要确认;UDP 数据传输快,只管传送不关心是否收到。...原创 2021-12-18 21:44:27 · 743 阅读 · 1 评论 -
forward 和 redirect 的区别
1、forward 是转发 ,redirect 是重定向。2、浏览器地址栏 url 显示:foward url 不会发生改变,redirect url 会发生改变。forward,是服务器请求资源,服务器直接访问目标地址的URL,把那个URL的响应内容读取过来,然后把这些内容再发给浏览器。浏览器根本不知道服务器发送的内容从哪里来的,所以它的地址栏还是原来的地址。应用:一般用于用户登陆的时候,根据角色转发到相应的模块。redirect,是服务端根据逻辑,发送一个状态码,告诉浏览器重新去请求那个原创 2021-12-17 23:01:31 · 2434 阅读 · 1 评论 -
http 响应码 301 和 302 区别
1、301:永久重定向2、302:暂时重定向3、两者区别301 对搜索引擎优化(SEO)更有利。302 会有被提示为网络拦截的风险。原创 2021-12-17 22:53:53 · 510 阅读 · 1 评论 -
HTTP各种响应码
1xx: 信息消息: 描述: 100 Continue 服务器仅接收到部分请求,但是一旦服务器并没有拒绝该请求,客户端应该继续发送其余的请求。 101 Switching Protocols 服务器转换协议:服务器将遵从客户的请求转换到另外一种协议。 103 Checkpoint 用于 PUT 或者 POST 请求恢复失败时的恢复请求建议。 2xx: 成功消息: 描述: 200 OK 请求成功(这是对HTTP请求成功的标准应答。) 201转载 2021-12-17 22:48:23 · 231 阅读 · 1 评论 -
如何预防 CSRF 攻击
1、CSRF 攻击CSRF:Cross-Site Request Forgery(中文:跨站请求伪造),可理解为攻击者盗用某用户的身份,以此用户的名义发送恶意请求,比如:发送邮件、发消息、购买商品,虚拟货币转账等。2、防御措施1)验证请求来源地址。2)关键操作添加验证码进行验证。3)在请求地址或heder中添加 token ,后台进行验证。...原创 2021-12-17 22:12:05 · 2056 阅读 · 1 评论 -
如何预防 XSS 攻击
1、XSS 攻击XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。2、预防策略预防 XSS 的核心:对输入的数据做必要的过滤处理。...原创 2021-12-17 22:05:46 · 5537 阅读 · 0 评论 -
避免sql注入的方法
1、使用预处理 PreparedStatementmybatis防止sql注入:# 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。$ 将传入的数据直接将参数拼接在sql中。#与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。2、使用正则表达式过滤掉字符中的特殊字符即对你参数进行合理教研,避免sql拼接恶意脚本。...原创 2021-12-17 22:00:20 · 802 阅读 · 1 评论 -
解决客户端禁止 cookie情况下实现session
背景:通常情况下,客户段依赖 cookie 存储 sessionId。问题:客户端禁用了cookie 。方案:通过使用在请求url中添加参数sessionId的方式,实现每次请求都携带sessionId,从而保证 session的正常使用。...原创 2021-12-16 23:23:00 · 741 阅读 · 0 评论 -
spring boot通过升级log4j2解决远程代码执行漏洞
1、升级log4j2到最新版版首先,查看springboot默认依赖log4j2版本,如下是版本:2.12.1。确定是受影响版本:Apache Log4j 2.x <= 2.15.0-rc22、处理方案pom.xml 中添加:<log4j2.version>2.16.0</log4j2.version> <properties> <okhttp.version>3.13.1</okhttp..原创 2021-12-15 21:32:06 · 547 阅读 · 0 评论 -
AES+BASE64实现基于秘钥的对称加密与解密
1、直接上代码package com.picc.common.util.security;import org.apache.commons.collections4.CollectionUtils;import org.apache.commons.lang3.StringUtils;import javax.crypto.*;import javax.crypto.spec.SecretKeySpec;import java.io.UnsupportedEncodingExcepti原创 2021-05-29 17:50:54 · 1843 阅读 · 0 评论 -
项目开发风险问题
风险问题应用系统数据库和数据存储整改,禁止密码明文,敏感字段保密措施(外呼营销、质检系统、企业微信、调度系统、AI机器人、云客服)数据库账号权限问题,研发人员不应该直接用管理员登录(管理员由我方管理、给厂家有限权限的数据库账户)"OSS、NAS等数据存储中是否存有客户信息(包含敏感字段),是否有保护加密措施。数据备份策略是什么,多久备份。数据库日志备份有无备份,数据库崩溃如何恢复(需要具体操作步骤和恢复演练)"rds监控是否都开启了,和各种自带功能应用前台登录后数据、报表是否安全,租户能否导出数原创 2021-05-29 17:42:09 · 410 阅读 · 0 评论 -
Nginx下配置Https证书
1、前提1、安装依赖yum -y install pcre-devel openssl openssl-develNginx安装http_ssl_module模块2、原创 2021-05-29 16:27:32 · 1013 阅读 · 0 评论 -
HTTP与HTTPS的区别
1、HTTP超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加 密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信 息,比如:信用卡号、密码等支付信息。...原创 2021-05-29 16:08:58 · 230 阅读 · 0 评论 -
WAF网站防火墙
这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的,我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法,二是可以对安全机器设备生产商出示一些安全提议,立即修补WAF存有的安全难题,以提高WAF的完备性和抗攻击能力。三是期待网站开发人员搞清楚并并不是布署了WAF就可以无忧无虑了,要搞清楚系统漏洞造成的直接原因,最好是能在代码方面上就将其修补。一、WAF的界定WAF(网站web运用服务器防火墙)是根据实行一系列对于H...原创 2021-05-29 14:44:00 · 543 阅读 · 0 评论 -
网络安全之秘钥管理规范
(一) 对主机、系统、网络设备、数据库、管理平台等进行弱口令全面排查,满足口令长度、复杂度要求(至少8位,包含大小写字母、数字、特殊字符),; (二) 严禁口令复用,不同机器、系统、设备等不得使用同一密码; (三) 使用连接工具时,严禁使用记住密码功能; (四) 妥善保管口令,严禁在跳板机上存储用户名、口令等敏感信息,逾期未清理我部将进行清除;严禁明文存储在终端上; (五) 定期(3个月)修改VPN口令,及时与信息科技部同步关停不必要VPN账户; (六) 前期安全检查、审计中发现问题抓紧整改; (七) 加强原创 2021-05-27 23:16:13 · 2234 阅读 · 1 评论 -
何为Token
对于初学者来说,对Token和Session的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就带大家一起分析分析这东西。一、我们先解释一下他的含义:1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服...原创 2021-05-27 23:10:34 · 177 阅读 · 0 评论 -
Redis使用命令访问异常:(error) NOAUTH Authentication required.
1、原因redis配置了密码2、auth命令录入密码auth yourPassword示例auth 123456原创 2020-12-24 09:36:38 · 1634 阅读 · 0 评论 -
网络丢包
1、什么是包包(Packet),是TCP/IP协议通信传输中的数据单位,也称“数据包”。TCP/IP协议,是工作在OSI模型第三层(网络层)、第四层(传输层)上的,帧工作在第二层(数据链路层)。上一层的内容由下一层的内容来传输,所以在局域网中,“包”是包含在“帧”里的。包(Packet):在包交换网络里,单个消息被划分为多个数据块,这些数据块称为包,它包含发送者和接收者的地址信息。这些包然后沿着不同的路径在一个或多个网络中传输,并且在目的地重新组合。2、网络丢包网络丢包,是在使用ping原创 2020-12-22 22:38:21 · 848 阅读 · 0 评论 -
API网关/API Gateway
1、概念 网关特指API网关(API Gataway)。字面意思是指将所有API的调用统一接入API网关层,由网关层负责接入和输出。 随着业务的迅速发展,组织成员日益增多。将所有的功能几种在一个Tomcat中的时候,没更新一个功能模块,势必要更新所有的程序。牵一发而动全身,系统将很难维护。单体应用满足不了日趋增长的需求之后,微服务出现了。我们利用微服务的思想,将原来的单体应用进行微服务化。将原来集中于一体的功能(如商品、订单服务)进行拆分,每个功能模块又各自的自成体系的发...原创 2020-07-06 09:58:37 · 1247 阅读 · 0 评论 -
linux下安装的软件通常不使用默认端口号
问题:为什么运维人员,安装的redis,mysql,elasticsearch,rocketmq等各种中间件、工具都不使用默认端口号。回答:软件本身存在着漏洞,如果使用默认端口号,针对公网ip,如果没设置白名单,很容易被攻击并植入病毒,然后服务器存在着安全隐患。 ...原创 2020-06-12 15:03:30 · 386 阅读 · 0 评论 -
解决:阿里服务器被挖矿程序攻击
1、问题:恶意进程(云查杀)-挖矿程序待处理备注处理执行命令的进程:/tmp/Jonason恶意文件md5:24d10d255de2dc9ff367e03625d7c4d5进程id:26,247描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检...原创 2019-10-11 15:28:59 · 1148 阅读 · 0 评论