security - 随笔分类 - duanxz

二维码支付原理分析及安全性的探究

摘要：“二维码支付”安全么？ 1 引言随时支付宝和微信的线下不断推广，目前使用手机进行二维码支付已经逐渐成为一种时尚了。但是大家有没有思考过：这种便捷的支付方式到底安不安全呢？今天我们就针对这个话题来进行一些探讨吧。 1 引言随时支付宝和微信的线下不断推广，目前使用手机进行二维码支付已经逐渐成为一种阅读全文

posted @ 2017-09-07 11:26 duanxz 阅读(3144) 评论(0) 推荐(0) 编辑

通过 HTTP 头进行 SQL 注入

摘要：在漏洞评估和渗透测试中，确定目标应用程序的输入向量是第一步。有时，当做web应用程序测试时，SQL注入漏洞的测试用例通常局限于特殊的输入向量GET和POST变量。那么对于其他的HTTP头部参数呢？难道他们不是潜在的SQL注入攻击输入向量吗？我们如何测试这些HTTP参数呢，以及使用什么样的漏洞扫描器查阅读全文

posted @ 2016-05-25 09:34 duanxz 阅读(2426) 评论(0) 推荐(0) 编辑

Sentinel 实战-集群限流

该文被密码保护。

posted @ 2016-04-18 15:21 duanxz 阅读(131) 评论(0) 推荐(0) 编辑

SpringMVC之八：基于SpringMVC拦截器和注解实现controller中访问权限控制,及异步模式

摘要：一、SpringMVC定义interceptor方式在SpringMVC 中定义一个Interceptor是比较非常简单，主要有两种方式：第一种：实现HandlerInterceptor 接口，或者是继承实现了HandlerInterceptor 接口的类，例如HandlerIntercepto 阅读全文

posted @ 2016-02-29 23:20 duanxz 阅读(7021) 评论(1) 推荐(1) 编辑

spring AOP 之五：Spring MVC通过AOP切面编程来拦截controller

摘要：示例1：通过包路径及类名规则为应用增加切面该示例是通过拦截所有com.dxz.web.aop包下的以Controller结尾的所有类的所有方法，在方法执行前后打印和记录日志到数据库。新建一个springboot项目 1：首先定义maven 2：在拦截controller之前需要自定义一个注解，该阅读全文

posted @ 2016-02-29 08:52 duanxz 阅读(7353) 评论(0) 推荐(0) 编辑

keytool生成JKS证书的详细步骤及截图

摘要：注：防止有不必要的空格，尽量不要复制粘贴 1、依据CFCA所提供的CN生成密钥存储文件和密钥对（创建JKS证书库） keytool -genkey -v -alias slserver -keyalg RSA -keysize 1024 -keypass 111111 -dname "cn=dua 阅读全文

posted @ 2016-01-20 20:40 duanxz 阅读(13858) 评论(0) 推荐(1) 编辑

使用wireshark观察SSL/TLS握手过程--双向认证/单向认证

摘要：SSL/TLS握手过程可以分成两种类型：1）SSL/TLS 双向认证，就是双方都会互相认证，也就是两者之间将会交换证书。2）SSL/TLS 单向认证，客户端会认证服务器端身份，而服务器端不会去对客户端身份进行验证。我们知道，握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程，而且握手过程... 阅读全文

posted @ 2016-01-20 19:55 duanxz 阅读(4520) 评论(1) 推荐(0) 编辑

图解SSL/TLS协议

摘要：一、SSL协议的握手过程开始加密通信之前，客户端和服务器首先必须建立连接和交换参数，这个过程叫做握手（handshake）。假定客户端叫做爱丽丝，服务器叫做鲍勃，整个握手过程可以用下图说明（点击看大图）。握手阶段分成五步。第一步，爱丽丝给出协议版本号、一个客户端生成的随机数（Client rando... 阅读全文

posted @ 2016-01-20 19:54 duanxz 阅读(394) 评论(0) 推荐(0) 编辑

java ssl https 连接详解生成证书

摘要：我们在关于Java EE安全的系列文章中，有一篇也详细介绍了如何在Java EE应用中创建SSL连接和证书。正如前面文章提到的，SSL(Secure Sockets Layer，安全套接层)/TLS(Transport Layer Security，传输层安全)保证了客户端和web服务器的连接安全。... 阅读全文

posted @ 2016-01-20 19:35 duanxz 阅读(10936) 评论(0) 推荐(0) 编辑

RCE、exp、Exploit、Exploit Pack、exp-gui、Payload、MetaSploit都是啥

摘要：对于走在安全路上的小菜来说，这几个exp、Exploit、Exploit Pack、exp-gui、Payload、MetaSploit名词着实把人转的不轻，下面给大家解释下：RCE，remote command execute远程命令执行Exp，就是Exploit，漏洞利用的意思，注意，有漏洞不一... 阅读全文

posted @ 2015-12-15 16:44 duanxz 阅读(1024) 评论(0) 推荐(0) 编辑

Lib之过？Java反序列化漏洞通用利用分析

摘要：转http://blog.chaitin.com/1 背景2 Java反序列化漏洞简介3 利用Apache Commons Collections实现远程代码执行4 漏洞利用实例4.1 利用过程概述4.2 WebLogic4.3 Jenkins4.4 Jboss4.5 WebSphere4.6 其它... 阅读全文

posted @ 2015-12-15 16:26 duanxz 阅读(1686) 评论(0) 推荐(0) 编辑

nginx实现防盗链配置方法介绍

摘要：有些朋友觉得防盗链就是防止图片，其实有很多东西要进行防盗链了，下面我来介绍在nginx中实现防盗链配置方法有对图片防盗链与下载资源等。防盗链配置假设网站域名是 www.php100.com。编辑nginx.conf，在 www.php100.com 区域添加如下内容：以上的例子可以实现扩展名阅读全文

posted @ 2015-10-28 23:58 duanxz 阅读(392) 评论(0) 推荐(0) 编辑

gRPC详解

摘要：gRPC是什么？ gRPC是什么可以用官网的一句话来概括 A high-performance, open-source universal RPC framework 所谓RPC(remote procedure call 远程过程调用)框架实际是提供了一套机制，使得应用程序之间可以进行通信，而且阅读全文

posted @ 2015-10-28 23:57 duanxz 阅读(943) 评论(0) 推荐(1) 编辑

web攻击之八：溢出攻击（nginx服务器防sql注入/溢出攻击/spam及禁User-agents）

摘要：一、什么是溢出攻击首先，溢出，通俗的讲就是意外数据的重新写入，就像装满了水的水桶，继续装水就会溢出，而溢出攻击就是，攻击者可以控制溢出的代码，如果程序的对象是内核级别的，如dll、sys文件等，就可以直接操控系统内核了其次，分类：按对象名加以区分：IIS溢出、SQL溢出等，就是按对象名来加以区阅读全文

posted @ 2015-10-28 23:55 duanxz 阅读(3949) 评论(0) 推荐(0) 编辑

web攻击之七：常见CDN回源问题总结

摘要：1. URL链接出现非法链接 (如 */./Play/show/id/349281 ); 2. CDN接收未知Referer处理失效(目前搜索引擎的状态码为499); 3. CDN抓取服务器 Cache-Control, Last-Modified(影响CDN的抓取) 4. CDN会同步缓存Cook 阅读全文

posted @ 2015-10-21 16:24 duanxz 阅读(2224) 评论(0) 推荐(0) 编辑

web攻击之六：DNS攻击原理与防范

摘要：随着网络的逐步普及，网络安全已成为INTERNET路上事实上的焦点，它关系着INTERNET的进一步发展和普及，甚至关系着INTERNET的生存。可喜的是我们那些互联网专家们并没有令广大INTERNET用户失望，网络安全技术也不断出现，使广大网民和企业有了更多的放心，下面就网络安全中的主要技术作一简阅读全文

posted @ 2015-10-21 16:14 duanxz 阅读(1818) 评论(0) 推荐(0) 编辑

web攻击之五：上传漏洞

摘要：【攻击】在图片上传的时候，攻击者上传非图片，而是可远程执行的的脚本，这时候，入侵者就可以远程的执行脚本来对服务器进行攻击【防御】 1、限制文件上传类型 2、使用第三方文件托管等阅读全文

posted @ 2015-10-21 16:13 duanxz 阅读(271) 评论(0) 推荐(0) 编辑

web攻击之四：DOS攻击

摘要：DDOS是DOS攻击中的一种方法。 DoS：是Denial of Service的简称，即拒绝服务，不是DOS操作系统，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 DDOS：分布式拒绝服务(DDoS:Distr 阅读全文

posted @ 2015-10-21 16:13 duanxz 阅读(1071) 评论(0) 推荐(0) 编辑

web攻击之三：SQL注入攻击的种类和防范手段

摘要：观察近来的一些安全事件及其后果，安全专家们已经得到一个结论，这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入，但今天所讨论的内容也许可帮助你检查自己的服务器，并采取相应防范措施。 SQL注入攻击的种类 1、内联 SQL 注入(Inline SQL Injection) 内联注入阅读全文

posted @ 2015-10-21 16:12 duanxz 阅读(2252) 评论(0) 推荐(0) 编辑

web攻击之二：CSRF跨站域请求伪造

摘要：CSRF是什么？（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利阅读全文

posted @ 2015-10-21 15:45 duanxz 阅读(1020) 评论(0) 推荐(0) 编辑

随笔分类 - security