随笔分类 -  【04】信息安全

摘要：服务器报警初步分析进一步分析最终分析总结 TOC 服务器报警 7月24号下午5点半开始，突然服务器报警，检查监控，发现CPU异常100%。 该服务器正常情况下CPU使用率在40%已经算高了，另外负载经过调试都保持在CPU承受范围内。 系统负载同时飙升 数据包的量直上云霄 TCP连接数上2W，正常情况 阅读全文

摘要：简介设计思想加密模式ECB模式（电子密码本模式：Electronic codebook）CBC模式（密码分组链接：Cipher-block chaining）CFB模式(密文反馈:Cipher feedback)OFB模式（输出反馈：Output feedback）主要参数注意JAVA实现AES/ECB/ZeroPaddingPHP实现AES/ECB/ZeroPadding.NET实现AES/EC... 阅读全文

摘要：前言什么是公钥和私钥?使用OpenssL生成私钥。使用Keytool导出私钥。主流数字证书都有哪些格式？SSL证书类型注册SSL证书使用OpenSSL工具生成CSR文件使用keytool工具生成CSR文件下载安装Nginx/TengineApacheTomcatIIS7/8注意事项补充 前言 以前想过全站https，但那个时候证书难搞，所以一直没动力去弄，这两年IOS和小程序相继强制使用htt... 阅读全文

摘要：前言什么是JWT？为什么使用JWT？什么时候使用JWT？JWT的基本结构HeaderPayloadSignature将他们放在一起项目实践JWT后端前端关于安全性总结参考 协议标准：https://tools.ietf.org/html/rfc7519 jwt.io：https://jwt.io 开箱即用：https://jwt.io/#libraries 前言 最近网站后台迎来第三次改... 阅读全文

摘要：经过被黑内容被黑原因分析危害后补措施思考总结 最近又比较忙，博客好久没写了，刚好记录一下这次事件。 现在都还有些心有余悸，好在没有出现严重的泄露情况，否则维护成本太大了。 之前也都没有太在意，为了图方便，很多安全配置都忽略甚至直接关闭了，这一次教训给自己打响了个警钟，对于以后的信息安全，资产保护也有了重新的认识和要求。 经过 2017-06-09号下午6点左右，手机收到阿里云报警，提示测... 阅读全文

摘要：什么是点击劫持劫持原理劫持案例代码示例优酷频道刷粉的POC腾讯微博刷粉防御 什么是点击劫持 点击劫持，clickjacking，也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 劫持... 阅读全文

摘要：浏览器安全跨站脚本攻击XSS简介XSS攻击进阶XSS攻击平台终极武器:XSS WormXSS构造技巧XSS的防御HttpOnly输入检查输出检查正确地防御XSS处理富文本防御DOM Based XSS换个角度看XSS的风险 浏览器安全 同源策略 影响源的因素：host,子域名,端口,协议 a.com 阅读全文

摘要：PS:onethink是基于该权限认证类实现，Auth类作为官方类库，在Library\Think里面。 其实Auth类也是基于角色访问控制RBAC扩展的，具体到节点的权限校验方式还是需要根据业务需求扩展。 Auth和RBACAuth的认证过程数据库表介绍Thinkphp中Auth源码实际使用参考 阅读全文

摘要：RBAC是什么，能解决什么难题？ThinkPHP中RBAC实现体系安全拦截器认证管理器访问决策管理运行身份管理器ThinkPHP中RBAC认证流程权限管理的具体实现过程RBAC相关的数据库介绍ThinkPHP的RBAC处理类实际使用登录校验自动校验权限状态参考 RBAC是什么，能解决什么难题？ RB 阅读全文