随笔分类 - 网络安全
摘要:add by zhj: 作者总结了防止SQL的几种办法,终极办法是数据库(如MySQL)自身提供的预编译功能,即先将SQL语句中的参数用?替换,发给数据库进行预编译,得到编译结果后再传入参数替换?,执行SQL。 Mybatis就用的这种方式防止SQL注入。 注意:在写SQL语句时,不要直接生成带参数
阅读全文
摘要:原文:http://kb.cnblogs.com/page/115136/ 随着www服务的兴起,越来越多的应用程序转向了B/S结构,这样只需要一个浏览器就可以访问各种各样的web服务,但是这样也越来越导致了越来越多的web安全问题。www服务依赖于Http协议实现,Http是无状态的协议,所以为...
阅读全文
摘要:add by zhj: 我也同意作者的观点,JavaScript 操作 Cookie 是一种不正常的做法;可以用 JavaScript 操作 Cookie 完成的功能,一样可以在服务端来完成。js操作cookie会带来的风险,比如xss,用户篡改cookie等。在django的csrf防御机制中,模...
阅读全文
摘要:原文:http://www.xuebuyuan.com/730127.htmliptables的使用参见http://wiki.ubuntu.org.cn/IptablesHowToiptables配置完成后,规则是自动立即生效的,但是机器重启动后,规则会丢失ubuntu下可以通过以下步骤保存ipt...
阅读全文
摘要:add by zhj:假设用户登录了网站A,而在网站B中有一个CSRF攻击标签,点击这个标签就会访问网站A,如果前端数据(包括sessionid)都放在本地存储的话,当在网站B点击CSRF攻击标签时,标签绑定的方法是无法通过js获取网站A本地存储中的sessionid的(因为涉及到了跨域的问题,js...
阅读全文
摘要:add by zhj:CSRF之所有发生,是因为http请求中会自动带上cookies,我的解决办法是:前端不要将数据放在cookie中,而是放在其它本地存储(HTML5中称之为Web Storage),本地存储与cookie的一个重要区别在于:本地数据不会自动加在http请求中。这样也就不会有CS...
阅读全文
摘要:add by zhj: 略有修改。另外还有一篇文章值得参考,使用 PHP 构建的 Web 应用如何避免 XSS 攻击,总得来说防御XSS的方法是客户端和服务端都要对输入做检查,如果只有客户端做检查,那攻击者不用你的客户端而使用第三方工具发起攻击,你就玩完了,客户端就成了马奇诺防线。如果后端用的是Py...
阅读全文
摘要:原文:http://blog.sina.com.cn/s/blog_7e64a87b0100rn8w.htmlSSH服务器,可以通过SSH协议登录远程服务器,但是ubuntu默认是启用了root用户,但要通过public key来登录。启用root用户:sudo passwd root #修改密...
阅读全文
摘要:原文:http://www.ruanyifeng.com/blog/2011/12/ssh_remote_login.html作者:阮一峰SSH是每一台Linux电脑的标准配置。随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也每天...
阅读全文
摘要:原文:http://www.live-in.org/archives/1296.html申请过程步骤蛮多的,对于像我这样的小白来说还是截图+文字记录下比较好。浏览器是firefox。1、打开http://www.startssl.com/2、点击StartSSL Free(Class 1)3、点击C...
阅读全文
摘要:add by zhj: 在看Django开发的应用时,看到了CSRF,然后搜到了这篇文章,讲的不错。其实CSRF攻击也蛮简单的。当你登陆网站A后,会在本地存有cookie,在cookie没有过期的情况下,你又去访问网站B,而网站B的js中包含发给A的http请求(即http的域名是A),因为这个请求...
阅读全文