java发送HTTPS请求
摘要:HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容请看SSL。 它是一个URI scheme(
阅读全文
posted @ 2017-09-12 06:59
文章分类 - Java安全
解决异常Certificates does not conform to algorithm constraints
摘要:这两天线上一批测试服的环境从JDK7升级到JDK8,上线之后突然不能充值了,后台日志报错如下: 这个异常字面的意思就是:在进行SSL握手时,所采用的证书算法不符合约束条件,抛了异常。结合堆栈信息,很快定位到代码层面:是我们游戏充值时要向腾讯的服务器发送一个https请求以获取token,然而因为腾讯
阅读全文
posted @ 2017-09-12 06:56
CSRF攻击原理及预防手段
摘要:CSRF全程 Cross Site Request Forgery, 跨站域请求伪造.这种攻击方式相对于XSS,SQL注入等攻击方式比较晚被发现,今天就来讲解下这种攻击方式以及避免方式. 攻击过程 假设abc用户登录银行的网站进行操作, 同时也访问了攻击者预先设置好的网站. abc点击了攻击者网站的
阅读全文
posted @ 2017-08-27 22:15
从开发角度浅谈CSRF攻击及防御
摘要:一.什么是CSRF CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF,攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意行为.CSRF可以简单分为Get型和Post型两种。 1.Get
阅读全文
posted @ 2017-08-27 22:12
浅谈CSRF攻击方式
摘要:一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的
阅读全文
posted @ 2017-08-27 21:48
了解XSS与防范
摘要:跨站脚本(XSS, Cross Site Script)攻击指的是,攻击者可以让某网站执行一段非法脚本。这种情况很常见,比如提交一个表单用于修改用户名,我们可以在文本框中输入一些特殊字符,比如 <, >, ', " 等,检查一下用户名是否正确修改了。 一.XSS 如何发生 XSS一定是由用户的输入引
阅读全文
posted @ 2017-04-22 01:15
如何正确防御xss攻击
摘要:一.简介 XSS:Cross Site Script,本来简写是css,但为了区别样式表的css,因此在安全领域叫做“XSS”。 XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 二.HttpOnly防止劫取Cookie Htt
阅读全文
posted @ 2017-03-21 00:00
Web安全之XSS
摘要:XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 一.
阅读全文
posted @ 2017-03-20 23:45
XSS的原理分析与实践
摘要:一.简介 xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下: 1.耗时间 2.有一定几率不成功 3.没有相应的软件来完成自动化攻击 4.前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底 5.是一种被动的攻击手法 6
阅读全文
posted @ 2017-03-20 23:15
