网络安全
文章平均质量分 94
sp42a
What the web can be
展开
-
Spring Boot 下使用谷歌 reCAPTCHA v3
之前第一次用也写过博文《免费使用 Google 防注册机验证》的教程,不过就是偏向于前端的使用,今回我们看看怎么在 Spring Boot 下使用。原创 2022-03-22 22:28:45 · 1646 阅读 · 0 评论 -
REST API 安全认证研究
REST API 安全认证研究概述对外网暴露的 RESTful API,由于是无状态的,如果不做认证,那就相当于裸奔的,任何人都可以调用,随意调用,这样是极不安全的。下面就 RESTful API 的安全性方案进行了一些研究。(但是首先建议,核心系统的 API 不对外网暴露,只允许内网调用,而且不建议做成 HTTP RESTful 形式。如果非要使用 RESTful API 对外网暴露接口,那么请看下面)。RESTful API 的安全性,包括了如下三个方面:a) 对客户端做身份认证b) 各种安转载 2021-07-28 16:15:18 · 780 阅读 · 0 评论 -
加密和签名技术分析
早在2013年,我就设计了 开放平台,那时参考了 新浪开放平台 \腾讯\百度\淘宝\支付宝\豆瓣 开放平台,并研究了 OAuth(1.0和2.0)最终第一版采用的 OAuth 1.0实现,第二版采用 OAuth 2.0 实现。但是有一个疑问,当时没弄清楚,就是 “为什么 支付宝用的 RSA 加密和签名,而新浪、豆瓣等用的AES加密、SHA1签名?”现在,我又深入研究了一晚上,终于想明白了,下面从头说起。关于加密算法只谈 AES 算法和 RSA 算法,其他的都不讨论,比如 DES,已经过时了。问:AE转载 2021-07-28 15:48:06 · 931 阅读 · 0 评论 -
常见网络安全攻击分析
本文所述的常规性防御问题包括 XSS 攻击、 SQL 注入、CSRF 攻击、CRLF 注入,下面就逐一来分析这四种问题。跨站脚本攻击 XSS跨站脚本攻击(Cross Site Script,XSS,单词 Cross 可作“X”)是 Web 常见攻击的类型。同一域下面资源可以自由相互访问;不同域下面的资源,浏览器是会严格限制的。访问不同域称作“跨域”或“跨站”。如果主机名不相同(即使 a.qq....原创 2020-03-23 21:09:28 · 2023 阅读 · 0 评论 -
网络信息系统安全检测方案设计(上)
当前网络攻击日益猖獗,各种入侵手段层出不穷。众多信息系统因为只重视业务逻辑和敏捷开发的缘故,没有在安全检测这一块给予足够的关注和一定分析,从而往往成为黑客或不法分子眼中的目标。当前信息系统多为基于 Web 的 B/S 结构系统,故本文尝试提供一种基于 Web 服务安全检测和防御的设计,并给出代码实现,务求能够防御 Web 常见的 XSS 攻击、CSRF 攻击、CRLF 注入和 SQL 注入攻击,另外包括提供 POST 白名单检测和 Cookies 加密等。原创 2016-07-30 15:43:26 · 4870 阅读 · 0 评论 -
网络信息系统安全检测方案设计(下)
当前网络攻击日益猖獗,各种入侵手段层出不穷。众多信息系统因为只重视业务逻辑和敏捷开发的缘故,没有在安全检测这一块给予足够的关注和一定分析,从而往往成为黑客或不法分子眼中的目标。当前信息系统多为基于 Web 的 B/S 结构系统,故本文尝试提供一种基于 Web 服务安全检测和防御的设计,并给出代码实现,务求能够防御 Web 常见的 XSS 攻击、CSRF 攻击、CRLF 注入和 SQL 注入攻击,另外包括提供 POST 白名单检测和 Cookies 加密等。原创 2016-07-30 15:56:08 · 3002 阅读 · 0 评论