分类目录:安全

以下是分类 安全 下的所有文章

大小括号导致的脚本攻击

html页面里面,onerror等事件处理器不用双引号也能执行,因此只要有大小括号都可以执行函数。 1234567891011121314151617181920212223<?php $merchantaccount  = "aabbcc onerror= alert(1)"; //$merchantaccount  = "aabbcc.jpeg onerror= alert&#x28;222&#x29;"; ?> &……

App端与服务器之间的安全策略

1. https保证通道安全 2. 下发token保证无登录的用户不能随意调用服务 3. token有过期时间,保证服务不被长期木马攻击 4. 对于支付等安全功能,需要另外增加支付密码校验和短信验证 5. 应用层内做自己的安全协议(对称、非对称、打包证书等等) 最近,项目给移动端提供API接口,移动app通过post请求调用服务器的api接口,……

HTTPS的配置

HTTPS单向认证 只有服务器端配置keystore,客户端需要校验服务器端的证书 连接握手的时候,先通过服务器端的公钥加密传递对称秘钥,然后通信使用的是对称加密,数据是保密的 需要生成服务器端keystore,客户端需要导入服务器端的证书 HTTPS双向认证 与单向认证一样,可以保证安全,但是可以验证客户单的证书 客户端需要配……

加密提供者BC(BouncyCastle)找不到的问题

在使用BouncyCastle作为J2EE的安全提供者的时候,经常会出现找不到BC提供者的问题,错误消息为:JCE cannot authenticate the provider BC。这是由于,BC提供者是个第三方实现,我们需要把他们放在jre的扩展类路径中,并且在安全配置中进行配置。 1. 我们必须确定我们需要使用的jre,请确定这是jre,而不是一个jdk: ..……

三种常见的网站攻击方法(SQL注入, 跨站脚本攻击XSS, 跨站请求伪造CSRF)以及防范措施

本文简单的介绍三种常见的网站攻击,以及应对方法,事实上,网上有很多网站都不同程度的存在这些漏洞,其实,这些问题已经很显而易见了,解决办法也很简单,只要在网站建设中稍加注意都能有效的防止这些攻击。 SQL注入图解 此图来自互联网。 SQL注入案例 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求的查……