zhigangsun的专栏

要定义明确的安全需求，重要的是确切了解什么是安全的需求。尽管安全需求与安全特性用于根本不同的目的，但它们经常被混淆。使用以下两个定义可以明确这种差异：► 安全需求是必须完成的任务。例如，所有密码必须加密存储。安全需求通常不会指示如何做，例如指示用哪个软件用来加密。设计 开发 交付需求 设计 代码 构建 测试 审核 运行架构分析源代码分析动态分析二进制分析漏洞扫描

Security is important for any distributed computing environment. But, security is becoming even more important for Web services due to the following reasons:The boundary of interaction between com

Kerberos是对称密钥，而PKI是非对称密钥Kerberos协议：Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-grantingticket)访问多个服务，即SSO(Single SignOn)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全

SSO的概念：       单点登录SSO（Single Sign-On）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。SSO的用途：      目前的企业应用环境中，往往有很多的应用系统，如办公自动化（OA）系统，财务管理

考虑一个带有自定义登录表单的应用，其中包括用户名和密码。系统为了对用户进行身份验证，向数据库发送这样一条查询：“用户X 的密码是否是 Y？”如果此查询的结果为真，则用户X 就通过了身份验证。如果结果为假，用户将被拒绝。 现在，假设服务器端并未执行合理的验证，允许某些人创建以下查询：“用户X 的密码是否是Y 或者我能否输入 X 作为用户名？”6 此时不是简单地将 Y 作为密码提供，在将此视为一条

SQL Injection flaws are introduced when software developers create dynamic database queries that include user supplied input. To avoid SQL injection flaws is simple. Developers need to either:a) stop

OverviewCross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. XSS attacks occur when an attacker uses a web

DescriptionSimilar to SQL Injection, XPath Injection attacks occur when a web site uses user-supplied information to construct an XPath query for XML data. By sending intentionally malformed infor

1、基础知识      这部分内容主要解释一些概念和术语，最好是先理解这部分内容。1.1、公钥密码体制(public-key cryptography)公钥密码体制分为三个部分，公钥、私钥、加密解密算法，它的加密解密过程如下：加密：通过加密算法和公钥对内容(或者说明文)进行加密，得到密文。加密过程需要用到公钥。解密：通过解密算法和私钥对密文进行解密，得到明文。解密过程需要用

Hash算法 即 哈希算法 。哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。一般用于快速查找和加密算法。

对称加密和非对称加密介绍和区别  什么是对称加密技术？  对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性

DescriptionBuffer overflow errors are characterized by the overwriting of memoryfragments of the process, which should have never been modifiedintentionally or unintentionally.Overwriting values of

DescriptionSummaryAn attacker sends a SOAP request with an array whose actual length exceeds the length indicated in the request. When a data structure including a SOAP array is instantiated, th

设想一个支持论坛。如果此论坛的输入未得到合理过滤，恶意用户即可在论坛上张贴任意HTML。其他用户访问论坛时，将为其显示这些HTML 代码。如果HTML 代码中包含脚本，每当有一名用户访问论坛上的这个帖子时，就会执行此脚本。

LDAP injection

One of the significant new features of the Java Platform, Standard Edition 6 (Java SE 6) is the Java XML Digital Signature API. This API allows you to generate and validate XML signatures. XML signa

一、背景知识：      SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SA

OverviewCSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering (like sending

IntroductionCurrent security technologies in common deployment are insufficientfor securing business transactions on the Web. Most existingbrowser-based security mechanisms, generally adequate for l

SSL协议与数字证书原理1 SSL(Secure Socket Lclientyer)是netscclientpe公司设计的主要用于weserver的安全传输协议。这种协议在WESERVER上获得了广泛的应用。SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。SSL协议分为两部分：Hclientndshclientke Protocol和Record