安全
关注
分享
扫一扫
master_bro
这个作者很懒,什么都没留下…
展开
-
Double-Checked Locking失效
在使用单例时,有时会使用double-checked locking 来提高性能,如下代码,貌似即保证了安全性又避免不必要的同步if (fitz == null) {synchronized (this) {if (fitz == null) {fitz = new Fitzer();}}}return fitz;希望保证仅分配一个 Fitzer() 对象, 但又不希望每次调用该代码...原创 2018-05-02 18:46:45 · 226 阅读 · 0 评论 -
Random函数的安全性问题与SecureRandom
电脑是一种具有确定性的机器, 因此不可能产生真正的随机性。 伪随机数生成器 (PRNG) 近似于随机算法, 始于一个能计算后续数值的种子。PRNG 包括两种类型: 统计学的 PRNG 和密码学的 PRNG。 统计学的 PRNG 提供很多有用的统计属性, 但其输出结果很容易预测, 因此容易复制数值流。 在安全性所依赖的生成值不可预测的情况下, 这种类型并不适用。 密码学的 PRNG 生成的输出结果较...原创 2018-04-27 19:24:58 · 9802 阅读 · 0 评论 -
使用不带区域设置的toUpperCase或者toLowerCase产生的不相等问题
对可能与区域设置相关的数据进行比较时, 应指定相应的区域设置。示例 1: 以下示例尝试执行验证, 以确定用户输入是否包含 <script> 标签...public String tagProcessor(String tag){ if (tag.toUpperCase().equals("SCRIPT")){ return null; }/ /...原创 2018-04-27 19:30:27 · 3213 阅读 · 0 评论 -
SESSIONID固定漏洞
问题场景 访问一个WEB页面,会看到有一个JSESSIONID,这是由服务器端在会话开始是通过set-cookie来设置的匿名SessionId 在登录进入后,再次查看SESSIONID,会发现此值未发生改变,这样,就产生了SESSIONID固定漏洞攻击步骤第一步,需要获取被攻击用户的JSESSIONID,可以通过给被攻击用户一个伪造的JSESSIONID,使其用该J...转载 2019-01-24 16:21:39 · 3463 阅读 · 0 评论