buptisc_txy的专栏

微软的一套安全体系 Cryptography 包括CSP之类概念等等http://msdn.microsoft.com/en-us/library/aa380255(v=VS.85).aspx 智能卡方面又有一些单独的子框架支持。 具体还可以参考http://xiaoou2002.blog.163.com/blog/static/215866692009269837

这是OWASP ESAPI 项目提供的一个开源WAF，基于J2EE实现，其主要利用XML的配置方式驱动防火墙。安装时，在Web.xml中将ESAPIWebApplicationFirewallFilter配置为filter，在应用程序之前和之后处理输入和输入。   TheESAPI Web Application Firewall (WAF) is driven by an X

Authentication与Access Control。我一直觉得这两个安全概念是一样的，结果书上，或者很多书上，都区分了两者。Authentication就是识别身份，Access Control则是访问控制。一般来说，我认为两者是同时需要同时发挥作用。input validation感觉每一层的安全界的出口处进行validate是最好的。页面上JS检测。JSP在写入数据库，或者返回页面时在validate。这样其实不错。这个挺有意思，如果程序中过滤

<br />转自：http://qa.taobao.com/?p=9015  淘宝QA<br /> <br />静态检查:静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人<br />        工进行，充分发挥人的逻辑思维优势，也可以借助软件工具自动进行。<br />        代码检查代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和<br />        设计的一致性， 代码对标准的遵循、可读性，代码的逻辑表达的正确性，代<br />        码结构的合理性等方面

<br />转自：http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br />  在微软开发者大会上看到Vista和IE 7之后，我已经表示它们的保护模式不仅仅阻挡了间谍软件，也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后，我体验到了这种困难——我的产品之一是一个IE工具栏，保护模式破坏了它的许多主要功能，因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试，我最终让这些功能又可以正常使用了。关于

<br />转自：http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br />  在微软开发者大会上看到Vista和IE 7之后，我已经表示它们的保护模式不仅仅阻挡了间谍软件，也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后，我体验到了这种困难——我的产品之一是一个IE工具栏，保护模式破坏了它的许多主要功能，因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试，我最终让这些功能又可以正常使用了。关于

<br />转自：http://tech.it168.com/d/2007-12-05/200712041740771.shtml<br /> <br />  在微软开发者大会上看到Vista和IE 7之后，我已经表示它们的保护模式不仅仅阻挡了间谍软件，也让合法的IE插件变得非常困难。当我试用了Vista beta 2之后，我体验到了这种困难——我的产品之一是一个IE工具栏，保护模式破坏了它的许多主要功能，因为这个工具栏需要与IE之外的另一个进程进行通信。经过多次尝试，我最终让这些功能又可以正常使用了。关于

摘自http://notech.blog.sohu.com/108540014.html1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key

header的扩展属性header中有些扩展属性可以用来保护站点，了解它们是有益处的X-Frame-Options这个属性可以避免网站被使用frame、iframe的方式嵌入，解决使用js判断会被var location;破解的问题，IE8、Firefox3.6、Chrome4以上的版本都支持X-XSS-Protection这是IE8引入的扩展h

详细见：http://www.webappsec.org/projects/articles/082905.shtml 日志截断导致用户访问日志中没有保留完整的url信息，因此黑客攻击将有可能被忽略。需要利用IIS等服务器中相关的插件或者是补丁，规定相关url信息的长度，对超长的url，服务器限制访问。

转自：http://www.webappsec.org/projects/articles/020606.shtml 文章中对于一些domain被劫持后恢复后依然可能存在攻击情况作了分析，如缓存在服务器和浏览器、代理服务器中的相关页面。文章提出了一些解决方案，比如，对于页面忽略某些header（if-modify-since等），这些主要是解决清缓存。或者邮件，邮件中通过下面的方式，解决浏

同样是沙盒技术，还需要下载代码研究研究。 A source-to-source translator for securing Javascript-based web content http://code.google.com/p/google-caja/ 还可以参考这位仁兄的文章：http://mikewest.org/2008/12/some-thoughts-re

P3P是万维网联盟（W3C）公布的一项隐私保护推荐标准，旨在为网上冲浪的 Internet用户提供隐私保护。现在有越来越多的网站在消费者访问时，都会收集一些用户信息。制定P3P标准的出发点就是为了减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑。P3P标准的构想是：Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式，如站点应做诸如 “本网站将监测您所访问的页面以提高站点的使用率”或“本网站将尽可能为您提供更合适的

1.1 背景 前端页面往往混杂着JSP、HMTL、JS、CSS代码。这些代码都有着并不一致的注释方式。对于JSP和JS而言，其往往采用C语言是注释方式，如： 1 单行注释。插入单行注释的符号是“//”，举例如下： //********* Code; 2 多行注释。多行注释以"/*"开始，以"*/"结束，举例如下： /* ----------------- */ Code

@set BB=5@rem echo off@echo 请输入文件夹地址@set /p  filedir= @rem echo %filedir%@echo 请输入操作文件的类型, js或者css@set /p  jscssflag=  @if "%jscssflag%" == "js" goto jshandle@if "%jscssflag%" == "

YUI Compressor是雅虎开发的JavaScript 、CSS的开源压缩工具。该工具的开发语言是Java，需要运行JRE1.4以上。YUI Compressor利用了Mozilla基金会提供的JavaScript引擎Rhino。JavaScriptCompressor.java是比较重要的文件，主要压缩流程都在这里。JavaScriptIdentifier.ja

找到真不容易了。转帖：http://www.cfca.com.cn/zhishi/zhishi-001.htm 5.双重数字签名 　　定义：有的场合需要寄出两个相关信息给接收者，接收者只能打开一个，而另一个只需转送，不能打开看其内容。 　　(持卡人向商户提出订购信息的同时，也给银行付款信息，以便授权银行付款，但持卡人不希望商户知道自己的账号的有关信息，也不希望开户行知道具体的消费内容，

无论怎样，DOM 的XSS攻击需要小心再小心，最好能在客户端做一个过滤。 这个在服务器端解析时，竟然只能解析一个name？ http://www.vulnerable.site/welcome.html?foobar=name=alert(document.cookie)&name=Joe #号后面的某些浏览器传递不到服务器，但是在某些情况下，url解析后，恶意代码

转自：http://www.webappsec.org/projects/articles/091007.shtml mysql_real_escape_string对于防止SQL注入还是不够的。对于某些参数的值来说，用引号包含起来是可以的。但是对于某些，比如columns, tables or databases，这些值不能用引号将值包含起来，鉴于mysql_real_escape_st

转自：http://blog.zhaojie.me/2010/10/padding-oracle-attack-in-detail.html，谢谢老赵！cookie在保证一段时间的有效登录时，估计会涉及padding oracle的漏洞。 老赵没有提到怎么防范这种类型的漏洞，我看1 不用cbc的加密方式。2 随机加密密钥。3  格式错误，比如padding错误，并不明显提示出来。