专注于计算机研发知识和资讯分享

如果是Java web应用，需要迁移webapps目录下的war文件。主要迁移conf目录下的文件，尤其是server.xml文件。访问日志路径配置，修改server.xml。为了同一个tomcat版本安装多个服务。访问 127.0.0.1:8080。

密码安全校验： 密码错误次数超过5次，则锁住账号30分钟。重置密码后，移除账号被锁住30分钟的key。

三个方面综合考虑，构建多层次、多维度的安全防护体系。（CIA三要素），防止数据泄露、篡改和系统瘫痪。信息系统的安全防护措施是为了保护系统的。

解决方案：升级到最新版Tomcat。

它指的是恶意攻击者往 Web 页面里插入恶意 html 代码，当用户浏览时，嵌入其中 Web 里面的 html 代码会被执行，造成获取用户 cookie、钓鱼、获取用户页面数据、蠕虫、挂马等危害。Man-in-the-middle attack, MITM： 指攻击者与通讯的两端分别创建独立的联系, 并交换其所收到的数据, 使通讯的两端认为他们正在通过一个私密的连接与对方直接对话。CSRF能够做的事情包括：以受害者名义发送邮件，发消息，盗取受害者的账号，甚至于购买商品，虚拟货币转账。

按照字符 数长度计算，字符数长度/3，字符数长度1/3位数正常显示，字符数长度（3/1+1）位数部分隐藏以星号替代。剩余部分字符数正常显示;正例：中国大陆个人手机号码显示：139****1219，隐藏中间 4 位，防止隐私泄露。说明：防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容。用户敏感数据禁止直接展示，必须对展示数据进行脱敏。隶属于用户个人的页面或者功能必须进行权限控制校验。

后台保存的敏感数据不适宜在前端（或传输）直接展示，需要将敏感数据脱敏后返回实现方案：自定义Jackson序列化器进行数据脱敏。/*** * 需要脱密的字段注解。

服务端返回的数据，使用 JSON 格式：面向用户的服务，应该选择 JSON 作为通信中使用的标准数据交换格式，包括请求和响应。此外，application/JSON 是一种通用的 MIME 类型，具有。说明：当用户在低版本与高版本之间反复切换工作时，会导致迁移复杂度升高，存在数据错乱风险。在接口路径中不要加入版本号，版本控制在 HTTP 头信息中体现，有利于向前兼容。需要明确协议、域名、路径、请求方法、请求内容、状态码、响应体。说明：缓存有利于减少交互次数，减少交互的平均延迟。前后端的时间格式统一为。

HTTP Cookie 用于管理用户会话、存储用户个性化首选项以及跟踪用户行为。使用浏览器的应用程序工具的“Cookie”窗格可以查看、编辑和删除网页的 HTTP Cookie。cookie：服务器端保存在浏览器端的数据片段，以 key/value的形式进行保存。每次请求的时候，请求头会自动包含本网站此目录下的 cookie 数据。网站经常使用这个技术来识别用户是否登陆等功能。建议token机制的升级：基于httpsession进行存储，存在跨域问题，无法适用于小程序。

背景：提供接口给下游（外部厂商）的接口，通过控制IP地址来限制接口的调用频率，可以有效保护系统的稳定性和安全性。限制接口调用频率实现方案：2.1 检查IP是否超过频率限制 (无法灵活控制限制时间范围)共用一个RateLimiter,无法灵活控制限制时间范围。使用CacheBuilder来构建LoadingCache实例，可以链式调用多个方法来配置缓存的行为。其中CacheLoader可以理解为一个固定的加载器，在创建LoadingCache时指定，然后简单地重写V load(K key) throws

【代码】Spring Cloud Gateway网关下的文档聚合(knife4j)

开发者可以通过实现ChannelInboundHandler的channelIdle方法（userEventTriggered）来监听这些事件并执行相应的操作‌，例如发送心跳或者重连。客户端：writerIdleTime每60秒进行一次读检测，设定时间内write()方法未被调用则触发一次userEventTrigger()方法。心跳组件新增最后一次接收消息时间，每次发送心跳的时候判断，如果 3分钟没有收到任何数据，客户端断开重连；TCP客户端和服务端，都需要定期检查是否有心跳，防止TCP假死。

需求： 限制指定MAC地址登录站点实现方案： 基于object 标签的。

参数按照ASCII码从小到大排序、拼接、加密（采用递归的方式进行实现。如果添加 属性 记得 修改set get里面 map的 大小。

在没有登录的情况下，直接访问路由到登录之后的路径，前端需要判断是否存在会话，如果会话失效，需要直接返回首页。因为短信验证码有失效和获取频率限制，如果先校验短信验证码，如果密码输入错误，则需要1分钟之后才能获取短信。时空信息平台-API安全措施：上篇（通讯协议的安全措施）校验原则： 高成本的，放到后面验证，例如短信验证码。浏览器指纹、设备ID作为设备标识。

禁止用户修改或者调试我们HTML页面的代码，这个时候需要阻止用户打开调试窗口，下面介绍一些能够阻止用户在浏览器中打开调试窗口的方法，这些方法只能一定程度的提高打开调试的门槛。/* WebKit内核 *//* IE10及以后 *//* CSS3属性 *//* 早期浏览器 */

JSP项目的签名算法做了混淆，但是如果调用签名的JS没有做混淆，js文明没有做混淆的话，容易被绕过。登录接口的账号和密码采用RSA加密，防止MD5撞库攻击。浏览器指纹、设备ID作为设备标识。前端建议使用VUE框架的项目。

文章目录引言I 、 HTTP 支持的方法1.1 幂等性1.2 HTTP 方法的安全性1.3 post和get的区别1.3.1 GET请求的数据会附在URL之后1.3.2　POST把提交的数据则放置在是HTTP包的包体中。1.3.2GET方式提交的数据的长度，受到特定的浏览器及服务器对它的限制1.4、 HTTP 状态码II、 iOS网络安全优化2.1 不走全局proxy的方案2.2 SSL证书验证2.3 允许不进行SSL证书验证2.4 解决ios的https双向认证不能抓包问题: disable SSL c

API接口协议中包含字段nonce_str，主要保证签名不可预测。我们推荐生成随机数算法如下：调用随机数函数生成，将得到的值转换为字符串。接口协议中包含字段nonce_str，主要保证签名不可预测。我们推荐生成随机数算法如下：调用随机数函数生成，将得到的值转换为字符串。尤其是涉及敏感词操作的接口：支付、密码、登陆、验证码等接口。允许的请求头字段： 添加sign。

Nginx本身并不具备复杂的防火墙规则定制或者实时监控功能，它主要是作为一个HTTP和反向代理服务器。如果你需要更强大的安全防护，需要考虑使用其他专业的防火墙或WAF（Web Application Firewall）解决方案。这些配置应该放在Nginx配置文件中的http或server块中。记得每次修改配置文件后，都需要重新加载或重启Nginx以使配置生效。

等保测评是信息安全等级保护测评的简称，是对信息和信息载体按照重要性等级分级别进行检测、评估的过程。背景：近期AIS监控平台（网页版）等保测评，发现没有登陆日志，现要求整改，补上登陆日志。

第一步，设所有发送的数据为集合M，将集合M内非空参数值的参数按照参数名ASCII码从小到大排序（字典序），使用URL键值对的格式（即key1=value1&key2=value2…第二步，在stringA最后拼接上key得到stringSignTemp字符串，并对stringSignTemp进行MD5运算，得到sign值signValue。我们推荐生成随机数算法如下：调用随机数函数生成，将得到的值转换为字符串。统一使用sign签名验证，签名规则也会在本文档中，详细说明。◆ 如果参数的值为空不参与签名；

数据同步接口日志从/var/log/messages中分开，防止挂载目录/满了，导致服务无法访问。密码规则：数字+字母+符号+8位以上 ，特殊符号只允许!防止挂载目录/满了，导致服务无法访问。

在Java中可使用Java Cryptography Extension (JCE)专用库实现。实现: 采用RSA密码技术保证重要数据在传输过程中的完整性。背景：解决敏感信息明文传输问题。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞，该漏洞源于存在不正确的输入验证漏洞，可能会导致将单个请求视为多个请求，从而在反向代理后面出现请求走私。

【代码】运维小技能：Tomcat安全（机房对外Web服务扫描）

6.8 之前免费版本并不包含安全认证功能，之后版本有开放一些基础认证功能。为了安全起见，设置访问密码，防止外网访问ES/黑客破解了服务器登录密码后，进而获取服务器上的 ES 数据。由于Elasticsearch的功能强大和使用简单，维基百科、卫报、Stack Overflow、GitHub等都纷纷采用它来做搜索。在节点 1 上执行如下命令，设置用户密码。设置完之后，数据会自动同步到其他节点。访问head管理页面: http://localhost:9100/es 集群不启动，下面的添加密码操作执行不了。

该漏洞源于存在异常情况处理不当、资源消耗不受控制的漏洞。升级Tomcat到最新版，例如9.0.96。漏洞名称：CVE-2024-34750。

鉴于该系统应用广泛，漏洞危害影响严重，为确保重要网络系统安全，防范发生网络攻击事件，请各县（市、区）工信部门高度重视，及时组织力量对本行业、本辖区使用部署该系统情况开展排查，督促指导有关单位尽快联系对接该系统的销售单位，及时修复漏洞、消除隐患，做好网络系统安全加固。目前，北京圣博润高新技术股份有限公司已排查了受影响的系统版本，研发完成了该漏洞的修复补丁程序，提出了线下修复方案（见附件1）。接口，通过发送恶意数据包，在堡垒机设备上执行任意命令，获取堡垒机控制权限。攻击者可利用该系统的。

风险分析: 攻击者可以通过构造特殊URL的手段，利用SQL注入漏洞从数据库中获取敏感数据、修改数据库数据（插入/更新/删除）、执行数据库管理操作（如关闭数据库管理系统）、恢复存在于数据库文件系统中的指定文件内容，在某些情况下能执行操作系统命令。漏洞描述: 应采用校验技术或密码技术保证重要数据在传输过程中不存在篡改或重放攻击，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。风险分析: 攻击者可利用该漏洞，盗用用户会话信息，进行恶意操作。

如果你需要更复杂的PHP处理，可能需要考虑更完整的解决方案，如Apache或Nginx。编辑 micro_httpd 的配置文件（通常是 micro_httpd.conf），设置正确的文档根目录（DocumentRoot）到你的PHP文件夹。在没有登录的情况下，直接访问路由到登录之后的路径，前端需要判断是否存在会话，如果会话失效，需要直接返回首页。home /var/www 指定了文档根目录为 /var/www，你需要将它改成你的PHP文件目录的路径。解压并安装到你的Windows系统。