java虚拟机所管理的内存的各个运行时数据区域

1,什么是运行时的内存区域? java虚拟机在执行java程序的过程中会把它所管理的内存划分为若干个不同的数据域。 有的区域随着虚拟机的进行的启动而存在,有些则依赖于用户线程的启动和结束而创建和消 亡 ...

2019-05-20 16:04:31

阅读数 4

评论数 0

使用StringEscapeUtils防止XSS攻击

1,commons-lang3-3.1.jar包中org.apache.commons.lang3.StringEscapeUtils 2,具体的实现过程: 第一步: XssHttpServletRequestWrapper继承servlet的HttpServletRequestWrapper i...

2018-11-16 14:50:19

阅读数 113

评论数 1

数据结构----栈

(1)栈的定义: 定义: 限定仅在表尾进行插入和删除操作的**线性表**。 将表中允许进行插入,删除操作的一端称为栈顶(Top)【栈顶是动态的】;另一端称为栈底; 如果栈中不含任何数据元素称为空栈; (2)特点: 先进后出(LIFO) (3)应用: 1...

2018-10-22 13:39:29

阅读数 49

评论数 0

数据结构----线性表

(1)线性表的定义: 即:由n(n>=0)个数据元素的有序序列;(如果n=0,则为空表;当n&amp...

2018-10-18 14:24:36

阅读数 60

评论数 0

不安全的反序列化(五)

WHY: 分布式应用程序或那些需要在客户端或文件系统上存储状态的程序,可能正在使用对象序列化,具有公共倾听器或依赖于客户端维护状态的分布式应用程序,很可能允许对序列化数据进行篡改。这种攻击可使用于二进制格式,或基于文本的格式。 1,序列化机制允许创建任意数据类型; 2,有可用于将应用程序链接...

2018-09-19 18:46:11

阅读数 621

评论数 0

使用已知漏洞的组件(四)

如何预防 软件项目应该遵循下面的流程: 1,移除不使用的依赖,不需要的功能、组件和文档; 2,利用工具如 versions、DependencyCheck、retire.js 等来持续的记录客户端和服务器以及它们的依赖库的版本信息; 3,对使用的组件持续监控如CVE和NVD等漏洞中心,可以使用自动...

2018-09-19 18:25:19

阅读数 328

评论数 0

跨站脚本攻击(XSS)(三)

XSS的三种形式 1,反射性XSS 应用中包含未验证的或未编码的用户输入,并作为HTML或者其他未启用的CSP头的一部分输出。成功的攻击将在受害者的浏览器上执行任意HTML或js代码,一般而言,用户需要点击链接或与其他攻击者控制页面做交互。 2,存储式XSS 应用或者APP将未净化的用户输入存储...

2018-09-19 18:15:46

阅读数 59

评论数 0

zookeeper

https://www.cnblogs.com/SimonHu1993/p/7798665.html

2018-09-17 23:05:53

阅读数 40

评论数 0

失效的身份认证和会话管理(二)

缺陷: 1,允许凭证填充,这使得攻击者获得有效用户名和密码的列表; 2,允许暴力破解或其他自动攻击; 3,允许默认的、弱的或众所周知的密码,例如“admin/admin“; 4,使用弱地或失效的验证凭证,忘记密码程序,例如“基于知识的答案“,这是不安全的; 5...

2018-09-17 01:26:07

阅读数 593

评论数 0

注入攻击(一)

应用在何时容易受到攻击: 1,用户支持的数据没有经过应用程序的验证,过滤或净化; 2,恶意数据直接被解释器用于动态的查询或非参数化的调用,而无需上下文感知的转义; 3,在ORM搜索参数中使用了恶意数据,这样搜索就会预估出包含敏感或所有记录的数据; 一些常见的注入包括SQL、OS命令、ORM...

2018-09-17 00:55:10

阅读数 290

评论数 0

OWASP Top 10 应用安全风险– 2017

1,注入:将不受信任的数据作为作为命令或查询的一部分发送到解析器时,会产生注入SQL注入,OS注入和LDPA注入的注入缺陷,攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据; 2,失效的身 份认证和会话管理:通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者...

2018-09-17 00:26:20

阅读数 207

评论数 0

应用程序安全风险

什么是应用程序安全风险? 攻击者可以通过应用程序中许多不同的路径方法去危害您的业务或者企业组织。每种路径方法都代表了一种风险, 这些风险可能会,也有可能不会严重到值得您去关注。 ...

2018-09-16 23:45:56

阅读数 363

评论数 0

常见的web网站攻击类型

**1,SQL注入 2,命令注入 3,任意文件上传 4,任意文件下载 5,反序列化漏洞 6,远程命令执行 7,已知的探测器扫描行为 8,文件包含 9,XXE 10,XSS 11,任意文件遍历 12,SSRF 13,WEBDAV 14,OGNL漏洞 15,暴力破解 等*...

2018-09-16 23:38:15

阅读数 278

评论数 0

Hbase概述(一)

1,Hbase能做什么 (1)海量数据存储 (2)准实时查询 Hbase在实际业务场景中的应用 1,交通 2,金融 3,电商 4,移动 2,Hbase的特点 1,容量大,Hbase单表可以有百亿行,百万列,数据矩阵横向和纵向两个维度所支持的数据量级都非常具有弹性; 2,面向...

2018-09-12 20:37:16

阅读数 70

评论数 0

使用POI实现Excel的导出功能

1,Excel工具类 import org.apache.poi.hssf.usermodel.*; import org.apache.poi.hssf.util.HSSFColor; import org.apache.poi.ss.usermodel.CellStyle; import o...

2018-09-12 13:29:10

阅读数 68

评论数 0

开源RPC框架--Dubbo

1,概念 Dubbo是一个高性能,轻量级,基于Java的RPC框架,Dubbo提供的功能,分别为: (1)接口的远程调用:高性能接口,对用户透明; (2)容错和负载均衡:dubbo支持多种开箱即用的负载均衡策略,可以感知下游服务的状 态,从而减少总体延迟并提高系统的吞吐量; (3)...

2018-09-09 10:46:51

阅读数 124

评论数 0

Java分布式定时任务--Elastic-job

1,什么是Elastic-job Elastic-job 是一个分布式调度解决方案。 Elastic-Job由2个独立的子项目组成:Elastic-Job-Lite和Elastic-Job-Cloud。 Elastic-Job-Lite是一个无中心的...

2018-09-09 09:33:08

阅读数 400

评论数 1

使用java的HTML解析器 jsoup来防止XSS攻击

1,基本概念 jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。 2,使用jsoup能够做什么 1&am...

2018-09-08 23:10:10

阅读数 413

评论数 0

Mac os 下 好用的svn客户端之 Cornerstone篇

详细使用教程如下:

2018-09-03 23:40:39

阅读数 361

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭