随笔分类 -  web安全

DES加密例子
摘要:Java密码学结构设计遵循两个原则: 1) 算法的独立性和可靠性。 2) 实现的独立性和相互作用性。 算法的独立性是通过定义密码服务类来获得。用户只需了解密码算法的概念,而不用去关心如何实现这些概念。实现的独立性和相互作用性通过密码服务提供器来实现。密码服务提供器是实现一个或多个密码服务的一个或多个 阅读全文
posted @ 2016-01-28 14:36 crazyYong 阅读(2299) 评论(0) 推荐(0) 编辑
常用加密算法的Java实现总结(二) ——对称加密算法DES、3DES和AES
摘要:常用加密算法的Java实现总结(二)——对称加密算法DES、3DES和AES日期:2014/7/6文:阿蜜果1、对称加密算法1.1 定义对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥(mi yue)一起经过特殊加密算法处理后,使其变成复杂的加密密... 阅读全文
posted @ 2015-09-17 15:43 crazyYong 阅读(1240) 评论(0) 推荐(0) 编辑
常用加密算法的Java实现(一) ——单向加密算法MD5和SHA
摘要:常用加密算法的Java实现(一)——单向加密算法MD5和SHA日期:2014/6/1文:阿蜜果1、Java的安全体系架构1.1 Java的安全体系架构介绍Java中为安全框架提供类和接口。JDK 安全 API 是 Java 编程语言的核心 API,位于 java.security 包(及其子包),以... 阅读全文
posted @ 2015-09-16 15:36 crazyYong 阅读(4440) 评论(0) 推荐(0) 编辑
在服务器上用Fiddler抓取HTTPS流量
摘要:转自:http://yoursunny.com/t/2011/FiddlerHTTPS/在服务器上用Fiddler抓取HTTPS流量阳光男孩 发表于2011-03-19开发互联网应用的过程中,常常会设立或利用网络接口。为了调试对网络接口的使用,往往需要查看流入和流出网络接口的网络流量或数据包。“抓包... 阅读全文
posted @ 2015-09-16 15:15 crazyYong 阅读(858) 评论(0) 推荐(0) 编辑
总结 XSS 与 CSRF 两种跨站攻击
摘要:在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用... 阅读全文
posted @ 2015-01-22 17:30 crazyYong 阅读(504) 评论(0) 推荐(0) 编辑
XSS研究2-来自内部的XSS攻击的防范
摘要:引入:前面我们分2篇文章分别探讨了来自外部的XSS攻击和来自内部的XSS攻击,现在我们来专门探讨如何防范来自内部的XSS攻击。实践:http://www.cnblogs.com/crazylqy/p/4146740.html 文章中可以看出,主要的攻击手段无外乎是发送了一段恶意脚本到受害者机器上去运... 阅读全文
posted @ 2014-12-05 15:21 crazyYong 阅读(468) 评论(0) 推荐(0) 编辑
XSS研究1-来自外部的XSS攻击
摘要:引入:上文中我们的例子是研究了来自内部的XSS攻击,通过输送一段有害js代码到受害者的机器,让其在受害者的域上运行这段有害JS代码来得到入侵目的。现在我们来看下来自外部的XSS攻击。实践:下面还是按照惯例,我用白话文来解释下什么是来自外部的XSS攻击。假设我是攻击者,A是受害者,我知道A有个习惯,他... 阅读全文
posted @ 2014-12-05 15:18 crazyYong 阅读(673) 评论(0) 推荐(0) 编辑
Session Cookie的HttpOnly和secure属性
摘要:SessionCookie的HttpOnly和secure属性 一、属性说明:1secure属性 当设置为true时,表示创建的Cookie会被以安全的形式向服务器传输,也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以不会被窃取到Cookie的... 阅读全文
posted @ 2014-12-04 17:37 crazyYong 阅读(19981) 评论(0) 推荐(1) 编辑
关于Cookie安全性设置的那些事
摘要:一、标题:关于Cookie安全性设置的那些事副标:httponly属性和secure属性解析二、引言经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly。今天写出来倒腾下...2.1首先必须的预备cookie知识。假如你第一次认识cookie,请先阅读这篇文章:js于coo... 阅读全文
posted @ 2014-12-04 17:35 crazyYong 阅读(8805) 评论(0) 推荐(0) 编辑
利用HTTP-only Cookie缓解XSS之痛
摘要:在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来... 阅读全文
posted @ 2014-11-07 16:07 crazyYong 阅读(1902) 评论(0) 推荐(0) 编辑
(HTTPS)web 项目如何实现https
摘要:HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解密,因此,所传送的数据不容易被网络黑客截获和破解。本文介绍HTTPS的三种实现方法。方法一 静态超链接这是目前网站中使用得较多的方法,也最简单。在要求使用SSL进行传输的Web网页链接中直接标明使用H... 阅读全文
posted @ 2014-11-04 16:29 crazyYong 阅读(10161) 评论(0) 推荐(1) 编辑
(HTTPS)-tomcat 实现 https 登录,去掉端口号
摘要:最近项目组要给日本客户做个产品,升级服务器交由我来升级。为了测试用,想要在自己电脑上搭个服务器。服务器需要由https登录,并且不显示端口号。费了些劲儿,看了n多帖子,好不容易弄好了。趁在没忘记之前,记录一下,发扬资源共享的作风。1、首先你的有tomcat 并且好使。我用的是apache-tomca... 阅读全文
posted @ 2014-11-04 16:28 crazyYong 阅读(2004) 评论(0) 推荐(0) 编辑
(HTTPS)-强制 SSL (HTTPS)Filter
摘要:汗,无知真可怕,Servlert规范中已经有自动跳转到保护页面(Http - Https)的方法了:web.xml Test Auth Protected Area /* DELETE GET POST PUT SSL required CONFIDENTIAL Basic 认证 + S... 阅读全文
posted @ 2014-11-04 16:27 crazyYong 阅读(1216) 评论(0) 推荐(0) 编辑
(HTTPS)-https原理及tomcat配置https方法
摘要:一、 什么是HTTPS在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传 输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了 SSL(Secure Sockets La... 阅读全文
posted @ 2014-11-04 16:26 crazyYong 阅读(839) 评论(0) 推荐(0) 编辑
Web攻防系列教程之跨站脚本攻击和防范技巧详解
摘要:摘要:XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很 难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。XSS跨站脚本攻击一直都被认为是客... 阅读全文
posted @ 2014-11-04 16:22 crazyYong 阅读(884) 评论(0) 推荐(0) 编辑
跨站点脚本攻击深入解析
摘要:跨站点脚本攻击深入解析来源:http://www.ibm.com/跨站脚本攻击(cross-site scripting,简称XSS),是黑客用来潜入Web应用程序的最普遍的应用程序层攻击之一。XSS是针对特殊Web站点的客户隐私的攻击,当客户详细信息失窃或受控时可能引发彻底的安全威胁。大部分网站攻... 阅读全文
posted @ 2014-11-04 16:20 crazyYong 阅读(477) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示