摘要:
一、Apache Shiro简介 1、简介 一个安全性框架 特点:功能丰富、使用简单、运行独立 核心功能: Authentication(认证):你是谁? Authorization(授权):谁能干什么? Session Management(Session管理):基于user、普通Java环境/W 阅读全文
posted @ 2018-03-30 14:09
LiveYourLife
阅读(372)
评论(0)
推荐(0)
摘要:
五、协议 1、HTTPS 认证的问题:HTTP中,敏感信息以明文传递,可以通过抓包抓取 安全版HTTP(HTTP over Secure Socket Layer),整个通信过程加密,使用对称加密和数字证书的技术 SLL/TLS机制:复杂的握手协议 SLL/TLS机制下的加密通信过程 JSSE(Ja 阅读全文
posted @ 2018-03-30 11:55
LiveYourLife
阅读(326)
评论(0)
推荐(0)
摘要:
四、认证Authentication 1、为什么要认证 对请求、数据进行认证,判断伪造的数据 HTTP请求很脆弱,抓包软件很强大,容易伪造身份,非法获取数据 2、摘要认证 对象:客户端参数、服务端响应 算法:MD5、SHA、Salt 机制:采用同样算法生成摘要;对比摘要判断信息是否被篡改 3、签名认 阅读全文
posted @ 2018-03-30 11:34
LiveYourLife
阅读(275)
评论(0)
推荐(0)
摘要:
三、加密算法 1、单向散列加密 名称:hash,散列算法,哈希算法 思想:消息摘要(Digest) 特点:单向不可逆(不能反向解密破解);摘要长度固定:碰撞少(输入差不多,加密结果相差很多);加盐(原文加入其它字符再进行加密) 算法实现:MD5,SHA 例子: 2、对称加密 加密/解密采用统一算法 阅读全文
posted @ 2018-03-30 10:01
LiveYourLife
阅读(551)
评论(0)
推荐(0)
摘要:
二、Web攻击与防范 1、XSS攻击 跨站脚本攻击(Cross Site Scripting),因为简写CSS,与层叠样式表(Cascading Style Sheets)有歧义,所以取名XSS 原理:在网页中嵌入恶意脚本程序,在客户端浏览器执行(如用户输入数据转换成代码执行) 防范:输入数据HTM 阅读全文
posted @ 2018-03-30 09:23
LiveYourLife
阅读(244)
评论(0)
推荐(0)
摘要:
一、背景、原理与解决思路 1、为什么要提高安全性(针对Web系统) 网络上对Web应用程序存在多种Web攻击手段,为了使系统稳定运行,必须有所防范 常见的Web攻击:XSS攻击、注入攻击、CSRF攻击、文件上传漏洞、DDos攻击、其它 2、应对方式 2个切入点:网络的架构、应用程序的设计 网络架构 阅读全文
posted @ 2018-03-30 08:49
LiveYourLife
阅读(303)
评论(0)
推荐(0)
浙公网安备 33010602011771号