三木君的博客

网络设备拥塞的情况下，是会丢包的。丢掉之后没有超时，没有等到返回结果，浏览器就会一直等待。

SQL注入源于拼接sql语句。解决方案是代码输入分离。测试的话，不要放过每一个错误和异常。例如盲注技巧 and 1=1and 1=2如果页面反馈信息出现差别，就能认为注入有些问题。

跨站脚本攻击 cross site script 因为和css有重叠，安全领域成为xss1. 反射性2. 存储型3. dom型构建一个隐形图片，发送链接url，随意盗取用户的cookie，轻易实现登录。存储到数据库，每次用户查询都会被调用的xss脚本攻击。威力强的一批。CSRF跨站请求伪造第三方利用已登录的网站的cookie信息，来执行意想不到的操作。前提是构造url，要明白个各种参数。 来构造出url。...

自从主动撞断了天赋之后，一切就变得极其困难。并没有想象的那么困难，但是再也无法一日千里。在芸芸众生之中，取了一个平凡的位置。独坐高崖之上，看着漫天的云海翻涌。为数不多的休息时间。努力本身并没有错误，但是愚蠢的盲目努力只会事倍功半。风清一向相信这种事。到底是不是天赋本身留下的后遗症。风清并不清楚。“还没找到属于自己的路啊？”风清叹息到。究竟人生追求的为何？人生就当如此平静的庸碌的活下去吗？人生当然是追求快乐和欲望。 吃好吃的，玩好玩的。无聊。是真的无聊还是假的无聊？.

密钥管理既是对于密钥进行管理的行为，如，加密，解密，破解等。密钥：当前密钥管理，至少要两层。严格一些需要三层。密钥顶层工作密钥，实际应用到。二层密钥用来加密工作密钥。根密钥不需要加密，是负责加密上层密钥的。生成方式3DES方式。密钥生命周日：生成--分发--使用--更新--存储--销毁。每一个部分有漏洞，都会影响到整个系统。生成： 需要安全的随机函数。比如java.security.secureRandom。分发：分发过程中，需要注意通道的安全，使用加密通..

日志审计需求主要来自于两个方面的驱动力：一，从企业内部组织的安全需要考虑，日志审计能够帮助用户获悉系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为时候问题的分析和调查取证提供必要的信息。二， 国家法律和行业规范，日志审计已经成为满足合规和内控需求的必备功能。实时采用用户网络中的各种不同厂商的安全设备，网络设备，主机，操作系统以及各种应用系统的...

一、SQL注入：SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。预防措施：PreparedStatement 对输入数据进行预编译。将传入数据作为值，不带入到SQL中。注意...