![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
系统安全
tangjileqi123
这个作者很懒,什么都没留下…
展开
-
加解密和数字证书详解
一,对称加密所谓对称加密,就是它们在编码时使用的密钥e和解码时一样d(e=d),我们就将其统称为密钥k。对称加解密的过程如下:发送端和接收端首先要共享相同的密钥k(即通信前双方都需要知道对应的密钥)才能进行通信。发送端用共享密钥k对明文p进行加密,得到密文c,并将得到的密文发送给接收端,接收端收到密文后,并用其相同的共享密钥k对密文进行解密,得出明文p。 一般加密和解密转载 2013-04-12 15:24:31 · 667 阅读 · 0 评论 -
安全架构设计必须考虑的几个点
安全的要求是进行系统架构设计必须需要充分考虑的,我们认为这是跟产品特性一样重要的,并称为“安全特性”,安全的防范是必须在设计阶段而不是发布后才考虑的。 具体对互联网的一个架构,我们需要考虑哪些方面呢?一,配置管理二,数据安全-存储和传输安全三,认证 - authentication四,授权 - authorization五,数据验证 - data validatio转载 2013-04-12 15:38:37 · 1190 阅读 · 0 评论 -
配置apache服务器的用户认证
经常上网的读者会遇到这种情况:访问一些网站的某些资源时,浏览器弹出一个对话框,要求输入用户名和密码来获取对资源的访问。这就是用户认证的一种技术。用户认证是保护网络系统资源的第一道防线,它控制着所有登录并检查访问用户的合法性,其目标是仅 让合法用户以合法的权限访问网络系统的资源。基本的用户认证技术是“用户名+密码”。 Apache是目前流行的Web服务器,可运行在Linux、Unix、转载 2013-04-12 15:37:39 · 700 阅读 · 0 评论 -
浅谈HTTPS传输协议原理
我们常常在使用网上银行时看到的连接都是以“https”开始的,那么这个https是什么呢?这其实是表示目前连接使用了SSL进行加密,能保证客户端到服务器端的通信都在被保护起来,那么浏览器是如果实现的呢?下面让我们来介绍一下SSL基本的实现方法。首先我们有两种基本的加解密算法类型:对称加密,非对称加密(公私钥加密),现在介绍一下这两种加密算法的特点:对称加密:密钥只有一个,加密解密为转载 2013-04-12 15:47:35 · 383 阅读 · 0 评论 -
域名与域名解析-DNS原理
域名与域名解析DNS服务,或者叫域名服务、域名解析服务,就是提供域名与IP地址的相互转换。域名的正向解析是将主机名转换成IP地址的过程,域名的反向解析是将IP地址转换成主机名的过程。通常我们很少需要将IP地址转换成主机名,即反向解析。反向解析经常被一些后台程序使用,用户看不到。域名系统的工作过程1.设置您的电脑去向谁查询。除非您的电脑本身具有域名服务器的功能,否则它不会进行转载 2013-04-12 15:46:48 · 521 阅读 · 0 评论 -
anti-CSRF Token布署时需要注意的一点问题
防范CSRF攻击的方案有许多种,有用验证码来防的(tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。 (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分CSRF和XSRF,后者是在XSS的情况下,防范CSRF和防范XSS是转载 2013-04-12 15:40:20 · 1369 阅读 · 0 评论 -
Bypass Preventing CSRF
CSRF在过去的n年(n>2)一直都火,在bh/defcon/owasp等会议上多次探讨CSRF的攻防[具体你可以看看以往的那些pp].前段时间PLAYHACK.net上发表了一个总结性的pp:Preventing CSRF,然而CSRF是很难彻底防止的,这个也是我说CSRF卑鄙无耻的一个原因,下面我的一些Bypass Preventing CSRF的tips:0x01.HTTP Re转载 2013-04-12 15:39:26 · 505 阅读 · 0 评论 -
Hot Spare
Hot Spare当一个正在使用的磁盘发生故障后,一个空闲、加电并待机的磁盘将马上代替此故障盘,此方法就是热备用。热备用磁盘上不存储任何的用户数据,最多可以有8个磁盘作为热备用磁盘。一个热备用磁盘可以专属于一个单一的冗余阵列或者它也可以是整个阵列热备用磁盘池中的一部分。而在某个特定的阵列中,只能有一个热备用磁盘。当磁盘发生故障时,控制器的固件能自动的用热备用磁盘代替故障磁盘,并通过算法把原来储转载 2013-04-12 15:43:16 · 621 阅读 · 0 评论 -
HTTPS原理详解
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容请看SSL。它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用转载 2013-04-12 15:42:32 · 362 阅读 · 0 评论 -
JSON Hijacking的利用
JSON Hijacking有什么作用,正如黑哥所说,可以CSRF得到用户隐私数据:)。原理最后介绍,先来看个攻击例子,拿饭否来做个实验。首先我们看这:http://help.fanfou.com/api.html" target="_blank">http://help.fanfou.com/api.html。饭否的API。其中:显示用户收到的私信 路径: http://api.fa转载 2013-04-12 15:41:10 · 436 阅读 · 0 评论 -
数字证书(全介绍)
什么是数字证书?¤是由证书签证机关(CA)签发的对用户的公钥的认证。因此,证书的内容应包括CA的信息、用户信息、用户公钥及CA签发时间及有效期等内容。目前国际上对证书的格式及认证方法遵从X.509体系标准。¤数字证书实际上是一份电子文档¤数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容转载 2013-04-12 15:45:05 · 834 阅读 · 0 评论 -
SSL与TLS
第一章 与安全有关的概念1.1 介绍提供有关通信安全和密码学的基本介绍。1.2 因特网威胁模型1.2.1 第一件事就是定义威胁模型(thread model)。它描述了攻击者可望拥有的资源以及可望采用的攻击。几乎每一种安全系统都受制于某种威胁。因此在定义安全威胁时,关心的不止是定义所担心的各种攻击,还要定义我们不准备关心的攻击。使得保障的安全的代价切合实际,物有所值。采转载 2013-04-12 15:44:08 · 450 阅读 · 0 评论 -
Web应用安全学习
1、CSRF漏洞的防范 方法一:添加Form Token 基本思路: step 1、在服务器端生成一个随机的token,如用token=md5(time()+userName); step 2、把token存入session或者数据库; step 3、把token存入待输出页面的某个元素中,如input-hidden;转载 2013-04-12 15:36:31 · 405 阅读 · 0 评论 -
关于安全支付的几个tips
今天阅读了一下cft的商户支付接入文档,发现对安全支付这块,包括防止钓鱼等其实是有一些低成本的方案的:1, 提交请求使用https协议,而不是http协议,可以防止信息在传输通道的安全。2, 重要信息走后台通知,而不是单独的前端页面跳转。3, 提交请求考虑更多的使用POST提交,少用GET,原因大家可以自己考虑。4,提交参数进行数字签名,防止信息被串改;转载 2013-04-12 15:35:52 · 702 阅读 · 0 评论 -
关注这种形式可能存在的XSS漏洞
[javascript] view plaincopyprint?var img = new Image(); img.src = "javascript:alert('xss');"; var img = new Image();img.src = "javascript:alert('xss');";经测试在部分浏览器会执行里面的脚本,IE6和TT4.8转载 2013-04-12 15:34:20 · 387 阅读 · 0 评论 -
如何保证上传文件的安全性
一,不能仅仅依赖客户端js进行判断和校验,需要在服务器端进行校验;二,通过白名单的方式控制允许上传文件的类型,注意不要用黑名单,很容易忽略或者遗漏;三,校验上传文件的大小和上传的路径;四,禁止上传.htacess文件,校验上传文件的内容,有时不能仅仅只判断magic num; (上传.htacess文件在部分配置有问题的php中会覆盖之前的权限控制文件.htacess转载 2013-04-12 15:32:49 · 1707 阅读 · 0 评论 -
Nginx下防御HTTP GET FLOOD(CC)攻击
from:http://user.qzone.qq.com/93850658/blog/1343639351#!app=2&via=QZ.HashRefresh&pos=1343639351一,主动抑制 为了让Nginx支持更多的并发连接数,根据实际情况对工作进程数和每个工作进程支持的最大连接数进行调整。例如设置“worker_processes 10”和“worke转载 2013-04-12 15:31:34 · 759 阅读 · 0 评论 -
详解HTTP中的摘要认证机制
在上一期http://blog.csdn.net/tenfyguo/article/details/6167190中笔者较为详细的介绍了HTTPBasic认证在apache下的配置,通过简单的实验演示了HTTP Basic认证的基本原理。 但是,聪明的读者很快可以发现,这种认证方式是存在很多缺陷的,具体表现如下:1, Basic认证会通过网络发送用户名和密码,并且是以base转载 2013-04-12 15:29:35 · 609 阅读 · 0 评论 -
利用HTTP进行拒绝服务攻击的一些构思
由于HTTP协议是基于请求/响应范式的(相当于客户机/服务器)。一个客户机与服务器建立连接后,发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容。转载 2013-04-12 15:45:59 · 463 阅读 · 0 评论