ru_li的专栏

部署了webapp后，若访问页面后，在tomcat控制台出现aq.executeQuery:Access denied for user 'root'@'localhost' (using password: YES)的提示，排除账号密码没有错误，那可能就是权限问题，解决办法：找到运行在mysql下的my.ini（我的在C:\ProgramData\MySQL\MySQL Server 5.7）：...

环境准备：Eclipse1、新建项目：File--New--Dynamic Web Project：新建的项目后为：2、导入jar包：下载spring的jar包以及common-log.jar包下载方法：spring的jar包：链接：https://pan.baidu.com/s/1AdKD980kSURJrc1mtjC4VA提取码：6r91common-log....

我用的JDK1.13，下载地址：https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html选择最下面的window x64进行下载，下载到本地后点击运行：之后傻瓜安装一直next就可以了，其实也不需要刻意把jdk换到其他盘，在c盘就可以：可以看到jd...

1、为当前的eclipse安装Java EE开发插件。Help->Insatall New Software：在改页面输入http://download.eclipse.org/releases/kepler如下所示，然后一直next，等待安装完成后重启就OK了。重启后在File->New->Others:下搜素web就可以看到啦：...

Apache默认配置支持解析CGI (Common Gateway Interface) (仅cgi-bin目录)，不解析SSI(Server Side Includes)和.htaccess。当配置不当时，可能导致系统命令执行。本文由腾讯安全应急响应中心的Mark4z5同学通过实验来探讨开启解析CGI/SSI/.htaccess的危害以及安全建议。一、安装实验环境二、解析...

1.apache官网下载Apache HTTP Server服务器 我相信有些朋友刚用apache服务器时，都希望从官网上下载，而面对着官网上众多的项目和镜像以及目录，也许有点茫然。下面是具体步骤： ①、打开apache官网http://httpd.apache.org/ （或百度"download apache"）。 ②、点击Download，出现以下界面 。...

https://blog.51cto.com/sf1314/2096580

json.stringfy()将对象、数组转换成字符串；json.parse()将字符串转成json对象。json.stringfy():语法： 　　JSON.stringify(value [, replacer] [, space]) value：是必选字段。就是你输入的对象，比如数组，类等。 replacer：这个是可选的。它又分为2种方式，一种是数组，第二种是方法。 　　情况一：repla...

1.@RequestMapping国际惯例先介绍什么是@RequestMapping，@RequestMapping 是一个用来处理请求地址映射的注解，可用于类或方法上。用于类上，表示类中的所有响应请求的方法都是以该地址作为父路径；用于方法上，表示在类的父路径下追加方法上注解中的地址将会访问到该方法，此处需注意@RequestMapping用在类上可以没用，但是用在方法上必须有。例如：@Contr...

一、由nextInt()实施的随机数生成器不能抵挡加密攻击1、不安全的随机数：电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。2、PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若安全性取决于生成数值的不可预测性...

Fortofy扫描漏洞解决方案：Log Forging漏洞：数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由CreditCompanyController.java 的第 53行进入 getParameter()。 2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过CreditCompanyController.java 文件第86 行的 info() 记录下来。为了...

参考：https://wenku.baidu.com/view/e3b97357c1c708a1294a445a.html

信息安全从业的几个分类：[漏洞挖掘/安全技术研究员]研究对象：OS，网络，应用，通讯媒介及协议的安全漏洞和防御方法，偏重于底层技术，对技术要求最高，但不要求很全面，只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等，最新的技术可能被转化到产品中实现商业价值，或可能承担技术最高的一部分专业安全服务。主要技能：C\C

应用系统的安全管理1 身份鉴别1.1 应用系统采用专用的登录控制模块

1：在java官网下载，本文我下载的是jre-8u121-linux-x64.tar.gz(在Home文件下)；2：通过xftp将其传输至usr/java文件下。（注意最好使用root权限进行以下所有操作）mv  /home/jre-8u121-linux-x64.tar.gz  /usr/java解压该tar.gz文件cd /usr/javalstar  -z

移动APP安全测试要点 上次《运营商渗透测试与挑战》中提到，随着运营商新技术新业务的发展，运营商集团层面对安全的要求有所变化，渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多，这些APP可能并不会通过应用市场审核及发布，其中的安全性将面临越来越多的挑战，这一点在《XcodeGhost危害国内苹果应用市场》一文

最近几年，运营商行业安全服务中渗透测试中常见的漏洞包括弱口令、注入漏洞、跨站漏洞、Struts2命令执行漏洞、WebServer远程部署及上传漏洞等，但随着新技术、新业务出现和运营商集团层面的关注重点有所转移，渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战，这就需要服务团队与时俱进，满足客户的服务要求。文章对这些方面进行了分析与总结，希望对安全服务人员的渗透测试

高防IP原理介绍：

《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》（下文简称“云安全等保合规”）是由公安部发布的国家级安全标准文件，此标准是在国内参照执行度最高的安全标准。“云计算安全技术要求”分册针对云计算信息系统的特点，提出了云计算信息系统安全等级保护的安全要求（其范围暂不包括云存储、云桌面和大数据服务），其中包括技术要求和管理要求，适用于指导分等级的云计算信息系统的安全建设和监督管理。

CSRF的攻击与防御CSRF是Web应用程序的一种常见漏洞，其攻击特性是危害性大但非常隐蔽，尤其是在大量Web 2.0技术的应用背景下，攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述，并列举攻击实例。1、CSRF漏洞简介CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种