security
关注
分享
扫一扫
文章平均质量分 74
wavefly_liu
每一天都在学习,每一天都在进步!
展开
-
加密技术
MAC:密码校验和。数字认证技术,能够证明数据接收和发送提供数据的在传送过程中没有被修改过。但是不能提供数字签名功能,因为发送和接收双方共享同一个公钥,会出现一方使用公钥伪造信息的情况。hash函数 + 对称加密 = MAC。MAC的实现算法分为2种: hash函数和对称分组加密算法(DES)hash函数提供数据认证功能,信息摘要(消息摘要:http://baike.baidu.com/vie原创 2009-01-19 10:18:00 · 914 阅读 · 0 评论 -
JAVA年度安全 第六周 阻止CSRF
本系列的译文暂停很久了,今后每周一篇直至完成原文地址:http://www.jtmelton.com/2012/02/07/year-of-security-for-java-week-6-csrf-prevention-in-java/Whatis it and why should I care?跨站点请求伪造(CSRF)是指受害者当被一个网站授权后,在其未知觉的情况下翻译 2014-05-13 21:25:38 · 6578 阅读 · 0 评论 -
JAVA年度安全 第九周 X-FRAME-OPTIONS
Whatis it and why should I care?X-Frame-Options(在草拟的标准中已经移除X-,只保留Frame-Options)是一个新技术用来指定网站页面是否允许嵌入IFrame页面。这样能够解决点击劫持(clickjacking)攻击。此技术是基于每个页面的HTTP响应头特定参数实现的。支持(X-)Frame-Options头参数的浏览器根据标准会允许或禁翻译 2014-06-08 23:32:20 · 8417 阅读 · 0 评论 -
JAVA年度安全 第五周 防止“点击劫持”(ClickJacking)
JAVA年度安全 第五周 防止“点击劫持”(ClickJacking)http://www.jtmelton.com/2012/02/03/year-of-security-for-java-week-5-clickjacking-prevention/What is it and why do I care?点击劫持是一种“web framing" 或者 "UI redres翻译 2012-09-26 14:58:07 · 2575 阅读 · 0 评论 -
JAVA年度安全 第四周 SESSION COOKIE HTTPONLY 标识
http://www.jtmelton.com/2012/01/25/year-of-security-for-java-week-4-session-cookie-httponly-flag/What is it and why do I care?Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.翻译 2012-07-26 22:05:32 · 4545 阅读 · 0 评论 -
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/ What is it and why do I care ?Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.翻译 2012-07-26 22:01:22 · 2506 阅读 · 0 评论 -
JAVA年度安全 第二周 WEB.XML中的错误处理
http://www.jtmelton.com/2012/01/10/year-of-security-for-java-week-2-error-handling-in-web-xml/ 这是什么东西,我为啥要关心?在OWASP TOP 10中我已经详细讨论了这个话题,你可以这里http://www.jtmelton.com/2010/06/02/the-owasp-top-ten-an翻译 2012-07-12 22:25:45 · 6037 阅读 · 0 评论 -
JAVA年度安全 第一周 防御Session Fixation
http://www.jtmelton.com/2012/01/02/year-of-security-for-java-week-1-session-fixation-prevention这是神马东西,我为啥要关心?Session Fixation,常用的定义:session劫持的一个变种。最常见的基本流程是:1、攻击者从应用中获取一个可用的session id2、攻击者强迫受骗翻译 2012-07-12 22:21:44 · 1777 阅读 · 0 评论 -
使用Tamper Data 提交XSS攻击数据
使用Tamper Data 提交XSS攻击数据一. 简介 作为 Firefox 的插件, Tamper Data 简单易用,功能强大,可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数,模型web攻击;可以用来跟踪 HTTP 请求和响应并记时;二. 使用Tamper提供请求监控和修改功能2.1 请求监听工具页面分为:监控窗口:fire原创 2012-06-04 18:33:22 · 3225 阅读 · 0 评论 -
FreeRadius client 安装
FreeRadius AAA:Authentication,Authorization and Accounting.网络上有很多FreeRadius Server 安装方法,而关于FreeRadius Client 的安装几乎没有介绍(官方网站上也没有,而且fr client 的命令都没有完全介绍…… ) FreeRadius Client 有以前2 个版本: FreeRadius原创 2009-09-22 16:47:00 · 6505 阅读 · 1 评论 -
JCE中支持AES,支持的模式和填充方式
JCE中AES支持五中模式:CBC,CFB,ECB,OFB,PCBC;支持三种填充:NoPadding,PKCS5Padding,ISO10126Padding。不支持SSL3Padding。不支持“NONE”模式。 其中AES/ECB/NoPadding和我现在使用的AESUtil得出的结果相同(在16的整数倍情况下)。不带模式和填充来获取AES算法的时候,其默认使用ECB/PKCS转载 2009-03-09 18:11:00 · 1613 阅读 · 0 评论 -
JAVA年度安全 第八周 HTTP严格传输安全协议
Whatis it and why should I care?HTTP严格传输安全(HSTS)是一个新技术,强制浏览器使用SSL/TLS(HTTPS)协议来访问应用。当应用在HTTP的响应头中设置HSTS标识,如果浏览器支持HSTS标识,那么本次通讯完全是基于HTTPS的。下面是简单的流程:1、 用户通过HTTP或者HTTPS协议访问WEB应用,大部分用户使用HTTP协议,因为通翻译 2014-06-03 09:37:41 · 4275 阅读 · 0 评论