Security
meander
三年Java开发经验,两年C#开发经验。善于使用eclipse和visual studio开发工具。从事过ERP和数据存储软件开发。专注于企业集成。
展开
-
Securing Your Web Browser
<br /> Securing Your Web Browser<br />Will Dormann and Jason Rafail<br />This paper will help youconfigure your webbrowser for safer internet surfing. It is written for homecomputer users, students, small business workers, and any other person转载 2010-10-15 10:39:00 · 1587 阅读 · 0 评论 -
什么是“第一方Cookie”、“第三方Cookie”
在了解什么是“第一方Cookies”、“第三方Cookies”之前,我们应该先了解一下,什么叫Cookie? 什么叫Cookie?Cookie是网站存放在客户端的一小段数据。一般的,网站为了提升用户体验,在客户的客户端中保存用户的历史信息,以备用户再次访问时网站能提供 更方便,更有针对性的服务。比如,网站可以记住你的登录状态,只要登录一次下次访问就不用在登录;购物网能记住你转载 2013-03-26 14:35:27 · 2721 阅读 · 0 评论 -
数字签名和数字证书
到底什么是“数字签名”(digital signature)和“数字证书”digital certificate)?对这些问题的理解,一直模模糊糊,很多细节搞不清楚。 今天,读完一篇通俗易懂的文章后,思路豁然开朗。为了加深记忆,这篇文章的翻译版记录如下。原理1. 鲍勃有两把钥匙,一把是公钥,另一把是私钥。 2. 鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊--转载 2012-08-30 20:10:04 · 590 阅读 · 0 评论 -
Encrypt and Decrypt
加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密)。加密技术的要点是加密算法,加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。 对称加密算法 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到原创 2012-08-30 19:56:14 · 1303 阅读 · 0 评论 -
浅谈https\ssl\数字证书
在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了。本文追本溯源围绕这个模式谈一谈。名词解释首先解释一下上面的几个名词:https:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层转载 2012-08-30 19:46:17 · 487 阅读 · 0 评论 -
HTTPS的七个误解(译文)
开发网页的时候,往往需要观察HTTP通信。我使用的工具主要有两个,在Firefox中是Firebug,在IE中是Fiddler。但是,一直听别人说,付费软件HttpWatch是这方面最好的工具。前几天,HttpWatch的官方网志刊登了一篇好文章,澄清了一些HTTPS协议容易产生误解的地方。学习之后,我增长了不少网页加密通信的知识。我觉得这篇文章很实用,值得留作参考,就翻译了出来。转载 2012-08-29 21:16:46 · 691 阅读 · 0 评论 -
Web Performance Tips
1.Segregate Secure and Non-Secure Content[1]When you design the folder structure of your Web site,clearly differentiate between the publicly accessible areas and restricted areas that require au原创 2012-08-29 21:06:07 · 502 阅读 · 0 评论 -
HTTPS和HTTP的区别
HTTPS和HTTP的区别:https协议需要到ca申请证书,一般免费证书很少,需要交费。 http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议 http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。 http的连接很简单,是无状态的 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证转载 2010-10-27 11:12:00 · 460 阅读 · 0 评论 -
HttpWatch工具简介及使用技巧
一概述:HttpWatch强大的网页数据分析工具.集成在Internet Explorer工具栏.包括网页摘要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST数据和目录管理功能.报告输出 HttpWatch 是一款能够收集并显示页页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具,就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓转载 2012-03-16 13:11:58 · 824 阅读 · 0 评论 -
一个安全测试的CheckList
1. 不登录系统,直接输入登录后的页面的URL是否可以访问;2. 不登录系统,直接输入下载文件的URL是否可以下载文件;如输入:http://url/download?name=file是否可以下载文件file3. 退出登录后,后退按钮能否访问之前的页面;4. ID/密码验证方式中能否使用简单密码;如密码标准为6位以上,字转载 2012-03-14 15:31:18 · 443 阅读 · 0 评论 -
SQL注入
Web 应用程序通常在后端使用数据库,以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本)。 Web 应用程序通常会获取用户输入(取自 HTTP 请求),将它并入 SQL 查询中,然后发送到后端数据库。接着应用程序便处理查询结果,有时会向用户显示结果。 如果应用程序对用户(攻击者)的输入处理不够小心,攻击者便可以利用这种操作方式。在此情况转载 2012-03-14 15:30:16 · 414 阅读 · 0 评论 -
跨站点脚本编制
“跨站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是转载 2012-03-14 15:23:26 · 1891 阅读 · 0 评论 -
利用XSS Shell进行XSS测试
0x01 XSS Shell简介 XSS Shell一个windows环境下的XSS攻击平台。下载地址为:http://www.portcullis-security.com/tools/free/XSSShell039.zip利用XSS Shell,攻击者可以轻松攻击存在XSS漏洞的网站的用户。目前可以实施的攻击包括但不限于:1、获取用户cookie;2、获取用户当前转载 2012-03-14 15:12:54 · 893 阅读 · 0 评论 -
Rational AppScan 扫描大型网站
Rational AppScan 工作原理 Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition转载 2012-03-14 15:02:50 · 1062 阅读 · 0 评论 -
Windows 安全认证是如何进行的?
一、Kerberos认证简介Windows认证协议有两种NTLM(NT LAN Manager)和Kerberos,前者主要应用于用于Windows NT 和 Windows 2000 Server(or Later) 工作组环境,而后者则主要应用于Windows 2000 Server(or Later) 域(Domain)环境。Kerberos较之NTLM更高效、更安全,同时认证过程也转载 2011-01-26 10:47:00 · 1098 阅读 · 1 评论 -
How to Set Up SSL on IIS 7
IntroductionThe steps for configuring Secure Sockets Layer (SSL) for a site are the same in IIS 7 and IIS 6.0, and include the following:Get an appropriate certificate. Create an HTTPS binding转载 2011-11-17 22:44:59 · 661 阅读 · 0 评论 -
安全套接字层协议SSL
一、安全套接字层协议SSL简介<br /> 安全套接字层协议是用于服务器之上的一个加密系统,它可以确保在客户端和服务端之间传输的数据是安全和加密的。要是服务器和客户端使用SSL进行安全通信,服务器必须有:<br /> 1、密钥对(Key pair),包含一个公钥和一个私钥,密钥对用来对信息进行加密和解密,以确保数据传输的安全。<br /> 2、证书(Certificate),用来进行身份验证或者确认。证书可以是自签证书(为自己私有的Web网络创建的证书),也可以是颁发证书(认证转载 2010-11-10 21:46:00 · 1651 阅读 · 0 评论 -
Service Pack 2: Security Changes Affecting Internet Explorer
<br />With Service Pack 2 (SP2) for Windows XP, Microsoft hasmade security a priority. While this is a positive enhancement, it alsomeans some things will work differently and not as seamlessly as theydid before SP2. Internet Explorer now has an转载 2010-10-18 15:21:00 · 579 阅读 · 0 评论 -
Fiddler使用教程
阅读目录Fiddler的基本介绍Fiddler的工作原理同类的其它工具Fiddler如何捕获Firefox的会话Fiddler如何捕获HTTPS会话Fiddler的基本界面Fiddler的统计视图QuickExec命令行的使用Fiddler中设置断点修改RequestFiddler中设置断点修改ResponseFiddler中创建AutoResponder规则Fiddler中如何过滤会话F转载 2012-03-16 13:24:28 · 689 阅读 · 0 评论