安全:CSRF
摘要:原文地址:http://baike.baidu.com/view/1609487.htm?fr=aladdin。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图...
阅读全文
posted @ 2014-05-10 15:04
随笔分类 - Security
安全(Security)。
《信息安全工程》读书笔记
摘要:译者序如何保证信息的如下特性:保密性、完整性、可用性、抗否认性。学习的一般思路:先了解概念、其次是原理、再次是技术。信息安全问题绝非单纯的技术问题,仅从技术角度是无法解决西悉尼安全问题的。将自己思考的内容写下来是发现自己欠缺哪些知识的绝佳途径。安全工程的含义如何应对:错误、灾难和恶意攻击。软件工程旨在确保某些事情能够发生,而安全工程则确保某些事情不能发生。典型的系统安全包括:用户身份验证、访问控制、事务完整性与问责制、数据完整性、容错、消息保密以及隐蔽性等安全机制。备注暂时先不读了,离工作太远。
阅读全文
posted @ 2013-12-08 09:45
安全:Web 安全学习笔记
摘要:背景说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置,尽量只谈编程相关的安全问题。最简单的 Web 物理架构您必须了解 HTTP 协议,可以阅读这篇文章:HTTP 协议详解,简单总结如下:浏览器和服务器的通信采用无状态的 HTTP 协议。通过控制 HTTP 的请求头,可以控制:客户端缓存、Cookie、请
阅读全文
posted @ 2013-12-05 23:03
