网络安全
关注
分享
扫一扫
大树叶
宠辱不惊,看庭前花开花落;去留无意,望天空云卷云舒。
展开
-
怎样才能更好的防范 SQL inject 攻击
1.使用参数化的过滤性语句 要防御SQL注入,用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反,用户的输入必须进行过滤,或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中,SQL语句就得以修正。然后,用户输入就被限于一个参数。下面是一个使用Java和JDBCAPI例子: PreparedStatement prep = conn.prepar转载 2016-05-10 11:12:08 · 909 阅读 · 0 评论 -
Apache Shiro: Java的安全框架
pache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。具体的文章见下面的博客:http://jinnians...转载 2018-02-26 11:32:59 · 484 阅读 · 0 评论 -
CSRF攻击与防御
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为转载 2017-11-06 15:47:33 · 279 阅读 · 0 评论 -
OAuth的机制原理讲解及开发流程
http://blog.youkuaiyun.com/alonesword/article/details/12190075本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。 1、OAut转载 2016-05-20 23:41:57 · 486 阅读 · 0 评论 -
OAuth2 授权分析
最近在做第三方接入的,初步定下使用OAuth2协议,花了些时间对OAuth2的授权方式做了些了解。 我还记得一两年前,跟一位同事聊起互联网时,当时我说过一个想法: 目前不少较为稀有的资源,很多都是论坛提供下载的,论坛提供的下载往往要求一个论坛帐号,更有甚者,需回帖才可见,又或者下载需要消耗一定的虚拟货币,而这些货币可以用论坛活跃度而获得。假设现在我是一个普通用户,我要找某个资源。通过搜转载 2016-05-20 23:38:34 · 984 阅读 · 0 评论 -
linux TCP 和 socket 参数设置
tcp_syn_retries :INTEGER默认值是5对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1 决定的)tcp_synack_retries :INTEGER默认值是原创 2016-04-30 00:37:41 · 10160 阅读 · 0 评论 -
DDOS反攻击措施
1:确保服务器的系统文件是最新的版本,并及时更新系统补丁。 2:关闭不必要的服务。 3:限制同时打开的SYN半连接数目。 在Linux中执行命令"sysctl -a|grep net.ipv4.tcp_max_syn_backlog",在返回的"net.ipv4.tcp_max_syn_backlog=256"中显示 Linux队列的最大半连接容量是256原创 2016-04-30 00:16:59 · 1569 阅读 · 0 评论 -
HTTPS
HTTPS本身并非协议,而是标准的HTTP协议架在SSL/TLS协议之上的一种结构。(一种不太合适的说法可以认为是两种协议的叠加)。HTTP是工作在OSI7层模型的最上层,就是第7层:Application Layer。而SSL/TLS是工作在第4层:Transport Layer。两层之间还是隔了Presentation Layer(6层)和Session Layer(5层)两层的。2、由于转载 2016-04-29 20:31:02 · 432 阅读 · 0 评论 -
怎么阻止直接输入地址访问 html 页面
step 1.Java中应用Filter对权限和Session控制代码如下:package com.drp.util.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterC原创 2016-05-10 17:18:53 · 11053 阅读 · 0 评论 -
SQL注入攻击三部曲之进阶篇
通过入门篇的学习,我们知道了SQL注入攻击的判断方法,但是如果想侵入网站,获取网站的机密内容,那么仅靠入门篇的知识是无法达到的。本篇文章我们将进一步的分析SQL注入攻击。首先,我们先看看SQL注入的一般步骤:第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种转载 2016-05-10 12:25:46 · 457 阅读 · 0 评论 -
SQL注入攻击三部曲之入门篇
服务器安全管理员和攻击者的战争仿佛永远没有停止的时候,针对国内网站的ASP架构的SQL注入攻击又开始大行其道。本篇文章通过SQL注入攻击原理引出SQL注入攻击的实施方法,旨在企业安全管理员能够通过技术学习提升自己的安全意识。第一节、SQL注入原理 以下我们从一个网www.mytest.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。在网站首页上,有名为“IE不能打开转载 2016-05-10 12:24:12 · 463 阅读 · 0 评论 -
SQL注入攻击的种类和防范手段有哪些?
首先要清楚SQL注入攻击有哪些种类。1.没有正确过滤转义字符在用户的输入没有为转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说,下面的这行代码就会演示这种漏洞:statement := "SELECT * FROM users WHERE name = '" + userName + "转载 2016-05-10 11:32:12 · 1580 阅读 · 0 评论 -
注册邮箱验证激活技术
一.思路1.数据库加三个字段,state:(0:未激活,1:激活成功),ActiCode:(放激活码),token_exptime(过期时间,用来验证激活邮件是否过期)2.用户填写资料,点击注册,插入数据成功,state字段默认是0,同时生成一个ActiCode(用传过来的邮箱、密码、和当前时间加密形成)也存入数据库3.发送邮件。。。提示用户登录邮箱激活。。。邮件中带一个激活成功页的URL,URL...转载 2018-02-27 15:05:58 · 1222 阅读 · 0 评论