wangpf2011的博客

截止2021.12.20，短短几天Log4j2.x已经连发3个版本，用以修复RCE命令执行漏洞，Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击，具体的操作方式有RMI和LDAP等。一、攻击原理以RMI为例，简单阐述下该漏洞的攻击原理：1、攻击者首先发布一个RMI服务，此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。2、攻击者再发布另一个恶意代码下载服务，此服务可以下载所有含有恶意代码的类。3、攻击者利用Log4j2的漏洞注入RMI调用，

上篇文章介绍了敏感数据如何加密传输，加密可以有效防止会话劫持，但是却防止不了重放攻击。重放攻击任何网络通讯过程中都可能发生，攻击者发送一个目的主机已经接收过的包，来达到欺骗系统的目的。这篇文件详细介绍下防止会话重放的方法和步骤，目的是防止会话请求数据包重放，保护目的主机免收攻击。1、客户端身份认证或第一次访问时，向服务端请求当前系统时间systime；2、客户端接收服务端返回的当前系统时间systime，并计算出与当前客户端时间clienttime的差值difftime=systime-clientt

客户端通过http协议获取系统重要敏感信息时，很容易造成敏感信息泄露。攻击者可以利用收集的重要敏感信息有针对性的制定计划对系统进行攻击。如何防护呢？首先应根据业务特点定义出系统存储的敏感信息，另外敏感信息在存储、传输、显示时应进行加密或脱敏处理。1、敏感数据上传客户端将敏感数据加密后上传至服务端，敏感信息Data采用对称加密算法进行加密传输，对称加密密钥Key采用非对称加密传输。具体步骤如下所示。1）服务端生成有效密钥对，并将PublicKey返回给客户端。公私钥在一个会话周期内有效，若重新登录

框架之初为了快速迭代出产品，而选择简单的技术架构，构建单体应用。这些架构可以适应初期业务的快速发展，但是随着业务变得越来越复杂，就会发现这些架构越来越难支撑业务的发展，各业务模块相互调用，业务边界越来越模糊，同时对系统更正性、完善性、预防性等维护工作越来越难，往往牵一发而动全身，最终可能造成测试工作不足，上线后才发现各种bug。另外会出现在一个类中写好几千行代码，一个方法中到处都是if else语...

本文主要讲述集群环境下解决Session共享的问题，从而实现集群环境下的单点登录。Session共享问题已经有很多解决方案，这里主要讲述常用四种方法。Session StickySession Sticky(粘性) 保证同一个会话的请求都在同一个Web服务器上处理，这样就完全不需要考虑到会话问题了。比如负载均衡算法中哈希算法就是一个典型的Session Sticky实现手段。这种实现方...