随笔分类 - 信息安全
摘要:信息技术的应用以及互联网的普及,给我们的生活带来智能和便利的同时,也带来了风险与挑战。网络安全成为社会普遍关心的问题,无论企业还是个人,其实我们每时每刻都将信息和隐私暴露于危险之中。 日常生活中,手机、电脑、平板电脑或者其他电子产品在连接网络的时候,都非常容易受到网络攻击。黑客防不胜防,攻击的来源很
阅读全文
摘要:在开发 Java Web 应用程序时,您需要确保应用程序拥有完善的安全性特征补充。这里在谈到 Java 安全性时,我们并不谈及 Java 语言提供的安全性 API,也不涉及使用 Java 代码来保护应用程序。 本文将着重讨论可能潜伏在您的 Java 应用程序中的安全性暴露。安全性暴露是系统中的缺陷,
阅读全文
摘要:突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: 有个进程minerd尽然占用了300%的CPU, 百度了一下,貌似服务器被利用Redis漏洞攻击,植入了挖矿程序,挖类似比特币的东西。 查到几篇文章都有人遇到同样问题,解决的办法:http://blog.c
阅读全文
摘要:有时候为了服务器的安全考虑,我们可以在服务器上做限制,禁止其他ip地址连接服务器。 方法一:修改ssh配置文件 其实做这个操作很简单,只需要改/etc/ssh/sshd_config配置文件,再最后一行添加下面语句即可 修改完毕后重启ssh 测试 可以新建个用户,然后使用新用户登录,看能否登录上;还
阅读全文
摘要:基本概念: tty(终端设备的统称):tty一词源于Teletypes,原来指的是电传打字机,是通过串行线用打印机键盘阅读和发送信息的东西,后来这东西被键盘和显示器取代,所以现在叫终端比较合适。终端是一种字符型设备,通常用tty来简称各种类型的终端设备。pty(虚拟终端):远程telnet到主机时不
阅读全文
摘要:本文要实现的功能:如果有人恶意尝试破解你的服务器密码,那么这个功能就能帮你起到一定的作用,当尝试密码错误超过设定的次数后,就会锁定该账户多长时间(自行设定),时间过后即可自行解锁,这样可以增加攻击者的成本。 服务器系统:centos6.5(centos其他版本应该也是可以的,请自行测试) 1.备份要
阅读全文
摘要:世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。你可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。一种无需电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击。
阅读全文
摘要:Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者
阅读全文
摘要:“SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本篇译文由zer0Black翻译自《SQL Injection Attacks by Exa
阅读全文
摘要:XSS的分类 非持久型 非持久型XSS也称反射型XSS。具体原理就是当用户提交一段代码的时候,服务端会马上返回页面的执行结果。那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时,服务端也会立刻处理这段恶意代码,并返回执行结果。如果服务端对这段恶意代码不加过滤的话,恶意代码就会在页面上被执行,
阅读全文
摘要:目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。
阅读全文
摘要:以Java的视角来聊聊SQL注入 原创 2017-08-08 javatiku Java面试那些事儿 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来
阅读全文
