随笔分类 -  网络安全

spring mvc防止表单重复提交的代码片段
摘要:1.定义一个token接口 2.实现拦截器 3.配置文件配置 阅读全文
posted @ 2016-10-08 10:24 魔流剑 阅读(2584) 评论(0) 推荐(1) 编辑
linux下tomcat安全配置
摘要:0x00 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 0x01 用户管理 如果不需要通过web部署应用,建议注释或删除tomcat-users.xml下用户权限相关配置 0x02 隐藏tomcat版本信息 方法一 修改$CATALINA_ 阅读全文
posted @ 2016-05-25 23:57 魔流剑 阅读(347) 评论(0) 推荐(0) 编辑
java.lang.NoSuchFieldError: VERSION_2_3_0 报错解决方案
摘要:struts2更新版本操作有关事项备注 struts2更新版本操作有关事项备注, 更新主要jar包:struts2-convention-plugin-version,struts2-core-version, struts2-spring-plugin-version 依赖jar包:xwork-c 阅读全文
posted @ 2016-05-06 17:38 魔流剑 阅读(17899) 评论(8) 推荐(2) 编辑
Java 全角字符转半角字符
摘要:1.java代码里有时候会遇到代码注入的安全问题,为了防止这种问题,增加了一个过滤功能。主要是过滤全角字符,把url不能识别的全角字符转换成半角字符 输出结果: ■ ■ffac●●△※○○☆№ccc■ ■ffac●●△※○○☆№ccc 阅读全文
posted @ 2016-05-04 17:59 魔流剑 阅读(4019) 评论(0) 推荐(0) 编辑
防止SQL注入和XSS攻击Filter
摘要:nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: 包装器: 阅读全文
posted @ 2016-05-04 17:56 魔流剑 阅读(4977) 评论(0) 推荐(0) 编辑
Java WEB安全问题及解决方案
摘要:1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用 阅读全文
posted @ 2016-05-03 12:01 魔流剑 阅读(10242) 评论(0) 推荐(0) 编辑
Java安全编码之用户输入
摘要:0x00 安全引言 1、传统Web应用与新兴移动应用 (1)传统Web应用:浏览器 HTTP 服务器(2)新兴移动应用:APP HTTP 服务器 从安全角度看,传统Web应用与新兴移动应用没有本质区别 2、Web应用安全的核心问题是什么? 用户提交的数据不可信是Web应用程序核心安全问题 用户可以提 阅读全文
posted @ 2016-05-03 11:28 魔流剑 阅读(2654) 评论(0) 推荐(0) 编辑
今天晚上 中国互联网被Struts2漏洞血洗
摘要:Apache官方今天晚上发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。 这一漏洞影响的软件版本为2.3.20-2.3.28,不过2.3.20.2、2.3.24. 阅读全文
posted @ 2016-04-27 10:50 魔流剑 阅读(401) 评论(0) 推荐(0) 编辑
Struts2理解--动态方法和method属性及通配符_默认Action
摘要:众所周知,默认条件下,在浏览器输入indexAction!execute.action,便会执行indexAction类里的execute方法,这样虽然方便,但可能带来安全隐患,通过url可以执行Action中的任意方法。 想要禁止调用动态方法,则要在struts.xml中通过constant元素将 阅读全文
posted @ 2016-04-27 10:48 魔流剑 阅读(535) 评论(0) 推荐(0) 编辑
web安全浅析
摘要:就之前本人主持开发的金融产品所遇到的安全问题,设计部分请参见:http://www.cnblogs.com/shenliang123/p/3835072.html 这里就部分web安全防护就简单的交流: (1)跨站脚本攻击(XSS): XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶 阅读全文
posted @ 2016-03-24 14:25 魔流剑 阅读(631) 评论(0) 推荐(0) 编辑
完美配置Tomcat的HTTPS
摘要:Tomcat配置HTTPS的文章到处都有,过程也比较简单,随后文中会转一段过来。 但对于启用APR情况下报异常“java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL wit 阅读全文
posted @ 2016-03-23 14:48 魔流剑 阅读(5561) 评论(2) 推荐(1) 编辑
分享一个免费SSL证书申请网站,给网站开启https协议 | 张戈博客
摘要:这些天,由于公司的业务需求,接触到了ssl证书和https协议。博客前几篇文章也分享了在WEB服务器上安装SSL证书,为网站开启https协议的教程,感兴趣的童鞋可以前往查看相关文章: 《Linux+Nginx/Apache/Tomcat新增SSL证书,开启https访问教程》 《Nginx在线服务 阅读全文
posted @ 2016-03-23 14:41 魔流剑 阅读(834) 评论(0) 推荐(1) 编辑
Asterisk的配置详解
摘要:Asterisk的配置文件都在/etc/asterisk目录下,重要的配置文件有: sip--会话初始协议,通常用于voip电话,进行呼叫建立、呼叫结束以及呼叫进程中的协商。基本上,它帮助二个端点互相通话。sip不处理媒体;当呼叫建立之后,它通过实时传输协议在电话之间直接传输媒体。 SIP使用UDP 阅读全文
posted @ 2016-03-23 10:14 魔流剑 阅读(16106) 评论(0) 推荐(1) 编辑
Tomcat配置https及访问http自动跳转至https
摘要:https介绍: HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个U 阅读全文
posted @ 2016-03-18 17:19 魔流剑 阅读(1053) 评论(0) 推荐(0) 编辑
IP地址的定义和含义
摘要:IP的定义 ip 是32位无符号整数,最小,最大分别是- 0.0.0.0 - 255.255.255.255 具体来说,由一个ip由 Net-ID+Host-ID 两部分组成,Net-ID 相同,那么就说明在一个网段内,可以用mac数据帧直接通信。 给定一个Net-ID host-ID全为0的ip, 阅读全文
posted @ 2016-03-02 13:25 魔流剑 阅读(2246) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示