随笔分类 -  网络安全

Web安全之SQL注入攻击技巧与防范(转)
摘要:add by zhj: 作者总结了防止SQL的几种办法,终极办法是数据库(如MySQL)自身提供的预编译功能,即先将SQL语句中的参数用?替换,发给数据库进行预编译,得到编译结果后再传入参数替换?,执行SQL。 Mybatis就用的这种方式防止SQL注入。 注意:在写SQL语句时,不要直接生成带参数 阅读全文
posted @ 2020-07-14 13:09 奋斗终生 阅读(1736) 评论(0) 推荐(0)
利用Httponly提升web应用程序安全性(转)
摘要:原文:http://kb.cnblogs.com/page/115136/ 随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为... 阅读全文
posted @ 2015-11-20 02:13 奋斗终生 阅读(326) 评论(0) 推荐(0)
Cookie安全漫谈(转)
摘要:add by zhj: 我也同意作者的观点,JavaScript 操作 Cookie 是一种不正常的做法;可以用 JavaScript 操作 Cookie 完成的功能,一样可以在服务端来完成。js操作cookie会带来的风险,比如xss,用户篡改cookie等。在django的csrf防御机制中,模... 阅读全文
posted @ 2015-11-20 02:08 奋斗终生 阅读(486) 评论(0) 推荐(0)
ubuntu开机自动加载iptables配置(转)
摘要:原文:http://www.xuebuyuan.com/730127.htmliptables的使用参见http://wiki.ubuntu.org.cn/IptablesHowToiptables配置完成后,规则是自动立即生效的,但是机器重启动后,规则会丢失ubuntu下可以通过以下步骤保存ipt... 阅读全文
posted @ 2015-09-19 14:07 奋斗终生 阅读(6000) 评论(0) 推荐(0)
Django 的 CSRF 保护机制(转)
摘要:add by zhj:假设用户登录了网站A,而在网站B中有一个CSRF攻击标签,点击这个标签就会访问网站A,如果前端数据(包括sessionid)都放在本地存储的话,当在网站B点击CSRF攻击标签时,标签绑定的方法是无法通过js获取网站A本地存储中的sessionid的(因为涉及到了跨域的问题,js... 阅读全文
posted @ 2015-01-30 16:20 奋斗终生 阅读(1100) 评论(0) 推荐(0)
CSRF的攻击与防御(转)
摘要:add by zhj:CSRF之所有发生,是因为http请求中会自动带上cookies,我的解决办法是:前端不要将数据放在cookie中,而是放在其它本地存储(HTML5中称之为Web Storage),本地存储与cookie的一个重要区别在于:本地数据不会自动加在http请求中。这样也就不会有CS... 阅读全文
posted @ 2015-01-29 18:46 奋斗终生 阅读(824) 评论(0) 推荐(1)
XSS攻击及防御(转)
摘要:add by zhj: 略有修改。另外还有一篇文章值得参考,使用 PHP 构建的 Web 应用如何避免 XSS 攻击,总得来说防御XSS的方法是客户端和服务端都要对输入做检查,如果只有客户端做检查,那攻击者不用你的客户端而使用第三方工具发起攻击,你就玩完了,客户端就成了马奇诺防线。如果后端用的是Py... 阅读全文
posted @ 2015-01-29 15:51 奋斗终生 阅读(1543) 评论(0) 推荐(0)
ubuntu下允许root用户ssh远程登录
摘要:原文:http://blog.sina.com.cn/s/blog_7e64a87b0100rn8w.htmlSSH服务器,可以通过SSH协议登录远程服务器,但是ubuntu默认是启用了root用户,但要通过public key来登录。启用root用户:sudo passwd root #修改密... 阅读全文
posted @ 2015-01-13 00:53 奋斗终生 阅读(13928) 评论(0) 推荐(0)
SSH原理与运用一:远程登录(转)
摘要:原文:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html作者:阮一峰SSH是每一台Linux电脑的标准配置。随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也每天... 阅读全文
posted @ 2015-01-13 00:33 奋斗终生 阅读(303) 评论(0) 推荐(0)
如何区分国内上网环境中不同的人为网络故障(转)
只有注册用户登录后才能阅读该文。
posted @ 2014-12-15 01:03 奋斗终生 阅读(10) 评论(0) 推荐(0)
申请startssl免费一年ssl证书(转)
摘要:原文:http://www.live-in.org/archives/1296.html申请过程步骤蛮多的,对于像我这样的小白来说还是截图+文字记录下比较好。浏览器是firefox。1、打开http://www.startssl.com/2、点击StartSSL Free(Class 1)3、点击C... 阅读全文
posted @ 2014-11-01 17:40 奋斗终生 阅读(377) 评论(0) 推荐(0)
浅谈CSRF攻击方式(转)
摘要:add by zhj: 在看Django开发的应用时,看到了CSRF,然后搜到了这篇文章,讲的不错。其实CSRF攻击也蛮简单的。当你登陆网站A后,会在本地存有cookie,在cookie没有过期的情况下,你又去访问网站B,而网站B的js中包含发给A的http请求(即http的域名是A),因为这个请求... 阅读全文
posted @ 2014-06-03 23:32 奋斗终生 阅读(320) 评论(0) 推荐(0)