系统安全
文章平均质量分 65
你好龙卷风!!!
懒惰是万恶之根源!
展开
-
Shiro自定义验证器——使用国密sm3+盐
在搞一个政府类的项目时,要求用国密,网上抄了抄,给Shiro改装一下,我本来Shiro验证用的是md5,因为sm3对标的是md5,所以现在就换成sm3。登录的原理就是比对密码是否相等,我这里是最简单的——比较加完salt和sm3进行hash后的密文是否和数据库中用户的密码密文相同。我用的是hutool的工具类,官网上说不需要导sm3那个依赖,但是我试了是不行的,所以还要导bcprov-jdk15on。到这边就可以成功注册完,就可以登录了,两次生成的密文是一样的就登陆成功。首先新建自己的验证器类。原创 2023-10-07 17:01:57 · 496 阅读 · 0 评论 -
AES,RSA方式加解密,Windows服务器测试成功,但是部署到Linux服务器后无法使用。
Java程序,在使用AES加密时发现。在Windows机器上编写测试,AES加解密均能正常使用,但服务部署到Linux服务器后,发现加解密无法正常使用了。:AES加解密时,Window系统与Linux系统的随机数生成方式不同。造成不同服务器系统,加解密有差异。这里的generateKeyPair就是没有指定随机数算法导致我今天更新到现在,呜呜。RSA前台加密后台解密的应用。:修改初始化密钥方式。原创 2023-03-16 21:20:48 · 688 阅读 · 0 评论 -
linux系统tomcat隐藏版本
修改配置文件:org/apache/catalina/util/ServerInfo.properties。找到catalina.jar,解压catalina.jar。原创 2023-03-05 17:31:31 · 534 阅读 · 0 评论 -
nginx设置X-Frame-Options
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。转载 2023-03-05 17:30:44 · 8357 阅读 · 0 评论 -
nginx隐藏版本号和标识
2. 修改 ngx_http_special_response.c 和 ngx_http_header_filter_module.c 两个文件,这两个文件在http包下。ps:这里使用一个不存在的页面进行实验,原本自带的index页和错误页要修改对应的nginx字符串。(1) ngx_http_special_response.c 修改22, 29, 36行,在配置文件中加入以下配置重启即可。PS: 本来隐藏版本号就已经达到要求了,但可爱的XX要求把标识也隐藏掉!这个会比较麻烦,要修改nginx的源码。转载 2023-03-05 17:24:03 · 764 阅读 · 0 评论 -
X-FRAME-OPTIONS未配置
其中第5种方式,通过tomcat控制最方便,不过实际配置过程中,版本过低的tomcat会启动不了,建议tomcat版本不要低于7.0.69 .DENY 表示该页面不允许在frame中展示,即便是在同域名页面中嵌套也不允许。ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。每个jsp页面都要写这段,太无语,我只声明我知道这种方式,但绝不会用。(推荐)加了之后就不用管tomcat等容器的事,一劳永逸。转载 2023-02-19 16:23:58 · 858 阅读 · 0 评论 -
AppScan检查到的一些中高危漏洞解决方案
解决办法:在shiro的配置文件中 引入 解决办法:在shiro的配置文件中 引入 2.1再加全局拦截器:再看所有请求头中已有Secure 和HttpOnly属性2.2.servlet3及以上 在web.xml中引入 http-only 和secure的属性 解决办法:mvc全局拦截器处理非法字符 解决办.......................................原创 2022-06-07 11:53:20 · 2376 阅读 · 0 评论 -
高危漏洞整改意见参考
1、【高危】弱口令 风险名称 弱口令 风险级别 高 URL http://cs2.xxxx.com:8003/mycrm/a?login 风险描述 管理员弱口令 漏洞验证 http://cs2.xxxx.com:8003/mycrm/a?login admin/123456 ..原创 2021-06-02 11:55:09 · 478 阅读 · 0 评论 -
linux阿里云centos6.5漏洞修复命令,48个紧急严重漏洞一一修复;
安骑士最近一直提示系统存在高危漏洞,现将漏洞修复方法记载如下RHSA-2015:2594: libpng security update (Moderate)修复方式:yum update libpngRHSA-2015:1482: libuser security update (Important)修复方式:yum update libuserRHSA-2017:0641: openssh security and bug fix update (Moderate)修复..转载 2021-02-13 17:37:16 · 545 阅读 · 0 评论 -
Apache Shiro 反序列化漏洞 [org.apache.shiro.web.mgt.CookieRememberMeManager]
Apache Shiro 反序列化漏洞2021-02-06 02:34:09,886 [http-bio-8000-exec-18] WARN [org.apache.shiro.mgt.DefaultSecurityManager] - Delegate RememberMeManager instance of type [org.apache.shiro.web.mgt.CookieRememberMeManager] threw an exception during getRemembere.转载 2021-02-06 09:28:08 · 3702 阅读 · 0 评论 -
记录一次centos 6.5被xmrig 攻击的处理过程
前言本次记录仅供小白学习记录,大神略过上月某一天客户反应系统登录不上一 top命令查看cpu使用情况1.1用top命令看cpu 内存占用,果不其然发现了一个异常的xmrig cpu占用74.9%,难怪系统登录不上 这时不要急着杀死进程,要根据pid找到相关的进程信息cd /proc/pid 再查看这个文件夹下的内容1.2找到之后把相关病毒进程和 病毒文件全部删除二 查看定时任务是否被篡改 crontab -e果然有病毒的定时启动任务。全部...原创 2021-01-31 19:04:12 · 2425 阅读 · 3 评论 -
easyui 分页防止js攻击,并过滤放行部分代码
模拟被攻击的时候在输入框里写<script>alert('hello,我要攻击你了!');</script>在datagrid-scrollview.js中添加以下代码//防止标签注入,将标签进行转义$.extend($.fn.datagrid.defaults, { onLoadSuccess: function () { ...原创 2020-03-12 15:56:23 · 297 阅读 · 0 评论 -
总结 XSS 与 CSRF 两种跨站攻击
转自:https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/XSS:跨站脚本(Cross-site scripting)CSRF:跨站请求伪造(Cross-site request forgery)在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的转载 2018-03-29 17:15:39 · 188 阅读 · 0 评论 -
JavaScript防http劫持与XSS
http://www.cnblogs.com/coco1s/p/5777260.html作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。最近用 JavaScript 写了一个组...转载 2018-03-29 17:11:49 · 218 阅读 · 0 评论