安全性
文章平均质量分 94
liaomin416100569
这个作者很懒,什么都没留下…
展开
-
BurpSuite实战教程03-BurpSuite插件开发
需求:拦截bp的抓包日志显示到自定义的表格中,点击表格能显示请求和响应的信息。效果图如下官网实例参考:@Override//在burpsuite中添加一个tab页签,名字是Custom logger//注册一个http抓包请求拦截器,用来获取所有抓包的数据添加到表格/*** 使用JSplitPane,添加一个左面是http请求的表格,下面是个http的请求和响应编辑器* @return*//**原创 2023-02-28 09:39:02 · 2901 阅读 · 0 评论 -
BurpSuite实战教程02-BurpSuite+夜神模拟器抓包教程
BurpSuite是用于“攻击”web 应用程序的集成平台(java编写),包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。BurpSuite简单易懂,使用方便,而且支持插件拓展,是系统安全工程师必备的工具,在国内应用广泛,文档和教程齐全,可在bilibili上找到各式各样的学习视频学习。原创 2023-02-23 14:12:37 · 7554 阅读 · 2 评论 -
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。原创 2022-12-13 10:46:05 · 10210 阅读 · 2 评论 -
linux下gcc编程11-window下clion编译调试nginx+集成lua-nginx-module+安装开源x-waf
nginx作为项目的7层代理入口,对于http请求的过滤,如sql注入,xss攻击等过滤功能较弱,研究了下开源的一些waf,完全开源的https://github.com/xsec-lab/x-waf,利用lua来过滤请求,同时拥有一个管理控制台,添加规则和代理,但使用过程中,缺少文档,碰到以下问题,促使用window编译通过源代码分析下有些规则失效愿意。原创 2022-11-23 12:27:59 · 1560 阅读 · 0 评论 -
springsecurity02-springsecurity oauth2实现单点登录之-授权服务器(Authorization Service)
文章目录oauth2简介oauth2简介具体关于oauth2,请参考https://blog.csdn.net/liaomin416100569/article/details/78871969简要介绍一下使用到的概念和术语(1) Third-party application:第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印&a原创 2019-03-14 14:56:07 · 3373 阅读 · 0 评论 -
springsecurity03-springsecurity oauth2实现单点登录之-资源服务器(Resource Service)
文章目录资源文件简介资源文件实战资源文件简介文章参考自 https://projects.spring.io/spring-security-oauth/docs/oauth2.html一个资源服务(可以和授权服务在同一个应用中,当然也可以分离开成为两个不同的应用程序)提供一些受token令牌保护的资源,Spring OAuth提供者是通过Spring Security authentica...原创 2019-03-14 17:42:25 · 1589 阅读 · 0 评论 -
springsecurity04-springsecurity oauth2实现单点登录之-github客户端模拟
文章目录申请github oauth应用申请github oauth应用地址:springsecurity04-springsecurity oauth2实现单点登录之-github客户端模拟点击注册成功后,可以获取到对应客户端id和客户端密钥...原创 2019-03-20 11:30:07 · 763 阅读 · 1 评论 -
springsecurity01-springsecurity架构和入门
文章目录springsecurity简介核心组件SecurityContextHolderAuthenticationspring Security是如何完成身份认证的?AuthenticationManagerDaoAuthenticationProviderUserDetails与UserDetailsService架构概览图springboot集成 springsecurityhellowo...原创 2019-03-13 11:11:53 · 425 阅读 · 1 评论 -
springsecurity05-第三方登录到微信和支付宝
文章目录1。微信和支付宝第三方登录简介1.1微信个人测试号1.2支付宝沙箱1。微信和支付宝第三方登录简介由于微信和支付宝需要申请公司权限,才能完整使用功能,现提供上述两种第三方登录的个人测试过程。1.1微信个人测试号微信仅仅提供测试号而且该测试号是用于公众号测试。如果需要在电脑模拟需要安装微信web开发者工具。微信公众号测试账号申请页面:https://mp.weixin.qq.com/...原创 2019-04-27 10:19:29 · 1643 阅读 · 0 评论 -
linux常用加解密程序
linux常用加解密程序1.ssh-keygen2.openssl3.gpg1.ssh-keygenssh 公钥认证是ssh认证的方式之一。通过公钥认证可实现ssh免密码登陆,git的ssh方式也是通过公钥进行认证的。在用户目录的home目录下,有一个.ssh的目录,和当前用户ssh配置认证相关的文件,几乎都在这个目录下。ssh-keygen 可用来生成ssh公钥认证所需的公钥和私钥文件。...原创 2019-02-18 23:32:32 · 3726 阅读 · 0 评论 -
JSON格式WEB令牌JWT(json+web+token)
一。jwt简介 传统web项目认证流程 当用户登录成功后,将用户信息保存在session中,session的唯一标识符jessionid保存在cookie中,当浏览器再次访问时,属于同一域名下,自动传递cookie从而达到有状态性获取服务器的session信息。 多个web平台一套认证机制这就需要跨域的单点登录问题,一般的方案是结合springsession+red...原创 2019-01-23 21:36:12 · 1158 阅读 · 0 评论 -
权限控制框架-shiro
一。 shiro简介Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。Shiro为解决下列问题(我喜欢称它们为应用安全的四要素)提供了保护应用的API:认证 - 用户身份识别,常被称为用户“登录原创 2017-12-19 17:19:33 · 16901 阅读 · 6 评论 -
Java中创建对称密钥的步骤
★ 实例说明本实例给出Java中创建对称密钥的步骤,并通过对象序列化方式保存在文件中。★ 编程思路:(1) 获取密钥生成器 KeyGenerator kg=KeyGenerator.getInstance("DESede");分析:Java中KeyGenerator类中提供了创建对称密钥的方法。Java中的类一般使用new操作符通过构造器创建对象,但KeyGener原创 2010-03-30 13:59:00 · 9112 阅读 · 0 评论 -
Java中创建对称密钥的代码
1 加密public static byte[] jiami() throws Exception { //密钥生成器 KeyGenerator key=KeyGenerator.getInstance("DESede"); /**初始化密钥生成器 * 该步骤一般指定密钥的长度。如果该步骤省略的话, * 会根据算法自动使用默认的密钥长度。指定长度时, * 若第一步密钥生成器使原创 2010-03-30 14:37:00 · 2092 阅读 · 1 评论 -
Java中创建口令密钥的代码
加密时所用的密钥是根据给定的口令生成的。为了增加破解的难度,PBE还使用一个随机数(称为盐)和口令组合起来加密文件。此外还进行重复计算(迭代)。1加密public static void jiami(String kouling) throws Exception { char[] passwd = kouling.toCharArray(); PBEKeySpec pbks =原创 2010-03-30 15:09:00 · 1665 阅读 · 5 评论 -
死锁的四个必要条件
操作系统中有若干进程并发执行,它们不断申请、使用、释放系统资源,虽然系统的进程协调、通信机构会对它们进行控制,但也可能出现若干进程都相互等待对方释放资源才能继续运行,否则就阻塞的情况。此时,若不借助外界因素,谁也不能释放资源,谁也不能解除阻塞状态。根据这样的情况,操作系统中的死锁被定义为系统中两个或者多个进程无限期地等待永远不会发生的条件,系统处于停滞状态,这就是死锁。产生死锁的原因主要是:(1)原创 2010-04-13 19:31:00 · 537 阅读 · 0 评论 -
什么是Single Sign On
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。单点登陆的技术实现机制当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进转载 2011-12-20 09:59:02 · 789 阅读 · 1 评论 -
数据公钥加密和认证中的私钥公钥
加密和认证 首先我们需要区分加密和认证这两个基本概念。 加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同的。 公钥和私钥 其次我们还要了解公钥和私钥的转载 2013-08-19 13:14:21 · 852 阅读 · 0 评论 -
java常见证书类型和密钥库类型
一 。证书类型 1》证书概念: 证书是对现实生活中 某个人或者某件物品的价值体现 比如古董颁发见证书 ,人颁发献血证等 通常证书会包含以下内容证书拥有者名称(CN),组织单位(OU)组织(O),城市(L) 区(ST) 国家/地区( C ) 证书的过期时间 证书的颁发机构 证书颁发机构对证书的签名,签名算法,对象的公钥等 数字证书的格式遵循X.5...原创 2017-07-24 16:18:27 · 10920 阅读 · 1 评论 -
常用的加密算法
一。摘要算法 1》MD5算法(Message Digest Algorithm 5) 可以保证数据传输完整性和一致性 摘要后长度为16字节 摘要信息中不包含原文信息所有加密结果不可逆(无法解密) 一般在传送文件时 对源文件进行md5 hash 传送到对方后 检测hash值是否相等 如果相等文件传输正确如果不相等 说明文件被篡改(加入木马)或者未传送完成 其他MD算法 MD2(16字节)...原创 2017-07-21 17:09:43 · 19999 阅读 · 0 评论 -
密和解密程序的一些概念
关键词凯撒密码是罗马扩张时期朱利斯•凯撒(Julius Caesar)创造的,用于加密通过信使传递的作战命令。它将字母表中的字母移动一定位置而实现加密。例如如果向右移动2位,则字母A将变为C,字母B将变为D,…,字母X变成Z,字母Y则变为A,字母Z变为B。因此,假如有个明文字符串“Hello”用这种方法加密的话,将变为密文:“Jgnnq”。而如果要解密,则只要将字母向相反方向移动同样位数即可。原创 2010-03-30 13:47:00 · 1352 阅读 · 0 评论