安全，SSL - 文章分类(第2页) - bw_0927

SSH Tunneling (TCP port forwarding)

摘要：http://www.spencerstirling.com/computergeek/sshtunnel.htmlhttp://www.vdomck.org/2005/11/reversing-ssh-connection.htmltip: April 2009. I have found that the tunnels "collapse" (i.e. don't die, but no longer function properly) if the option "TCPKeepAlive yes" is used in the /et 阅读全文

posted @ 2013-11-25 09:25 bw_0927 阅读(618) 评论(0) 推荐(0)

ssh tunnel VS vpn

摘要：http://www.linuxjournal.com/content/ssh-tunneling-poor-techies-vpn"If we see light at the end of the tunnel, it is the light of the oncoming train" ~ Robert Lowell. Oh yes, another good quote. This post is on SSH tunneling, or as I like to call it 'Poor Man's VPN'. Contrary to 阅读全文

posted @ 2013-11-22 13:39 bw_0927 阅读(307) 评论(0) 推荐(0)

putty ssh tunnel firefox socks5

摘要：http://alvinalexander.com/unix/edu/putty-ssh-tunnel-firefox-socks-proxy/1-putty-ssh-tunnel-introduction.shtmlHow to create a Firefox SOCKS proxy with a Putty SSH tunnel (introduction)Last updated: Apr 10, 2011It drives me crazy when I have to work at client sites and they have a web proxy like Webse 阅读全文

posted @ 2013-11-22 10:36 bw_0927 阅读(2676) 评论(0) 推荐(0)

iptables详解

摘要：http://www.ansen.org/iptables-detailed.htmlhttp://wushank.blog.51cto.com/3489095/1171768防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。如果都不满足，则将阅读全文

posted @ 2013-08-07 10:36 bw_0927 阅读(479) 评论(0) 推荐(0)

cer pvk pfx

摘要：作为文件形式存在的证书一般有这几种格式： 1.带有私钥的证书由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx作为证书文件后缀名。 2.二进制编码的证书证书中没有私钥，DER 编码二进制格式的证书文件，以cer作为证书文件后缀名。 3.Base64编码的证书证书中没有私钥，BASE64 编码格式的证书文件，也是以cer作为证书文件后缀名。由定义可以看出，只有pfx格式的数字证书是包含有私钥的，cer格式的数字证书里面只有公钥没有私钥。在pfx证书的导入过程中有一项是“标志此密钥是可导出的。这将您阅读全文

posted @ 2013-01-31 10:10 bw_0927 阅读(2226) 评论(0) 推荐(1)

anti CSRF mod_security

摘要：http://blog.spiderlabs.com/2011/08/detecting-malice-with-modsecurity-updated-csrf-attacks.htmlUPDATE - since this original post, we added new data manipulation capabilities to v2.6.0 with the introduction of the @rsub operator. See the last section on modifying outbound data server-side.This week 阅读全文

posted @ 2012-11-20 15:01 bw_0927 阅读(428) 评论(0) 推荐(0)

XSS

摘要：http://www.jb51.net/article/15688.htmhttp://www.ibm.com/developerworks/tivoli/library/s-csscript/https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)http://www.cnblogs.com/tonyseek/archive/2011/11/24/introduce-to-xss-and-csrf.htmlXSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，阅读全文

posted @ 2012-08-30 11:05 bw_0927 阅读(458) 评论(0) 推荐(0)

IBM CSRF

摘要：http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/index.htmlCSRF 攻击的应对之道牛刚, 软件工程师, IBM童强国, 高级软件工程师, IBM简介：CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作，有很大的危害性。然而，该攻击方式并不为大家所熟知，很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性，然后就目前阅读全文

posted @ 2012-08-29 10:10 bw_0927 阅读(205) 评论(0) 推荐(0)

CSRF

摘要：https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)http://www.jtmelton.com/2010/05/16/the-owasp-top-ten-and-esapi-part-6-cross-site-request-forgery-csrf/http://blog.csdn.net/lake2/article/details/2245754http://www.80sec.com/csrf-securit.htmlhttp://blog.csdn.net/chinalog/article/details 阅读全文

posted @ 2012-06-28 14:43 bw_0927 阅读(428) 评论(0) 推荐(0)

crl effective date, next update, next crl publish

摘要：http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx.The validity time of a certificate revocation list (CRL) is critical for every public key infrastructure.By default, most applications verify the validity of certificates 阅读全文

posted @ 2012-06-20 11:09 bw_0927 阅读(504) 评论(0) 推荐(0)

一次被黑经历与一些反思

摘要：一次被黑经历与一些反思http://hoodlum.blog.51cto.com/4075497/8904052012年5月22日17时许，发现公司一台非正式生产服务器（有公网IP）的root密码被修改，导致无法登陆服务器，排查处理过程如下：1、通过vmware vcenter管理端进入单用户模式修... 阅读全文

posted @ 2012-06-07 17:49 bw_0927 阅读(214) 评论(0) 推荐(0)

CSRF攻击原理解析

摘要：http://www.80sec.com/csrf-securit.html|=——————————————————————=||=————–=[ CSRF攻击原理解析 ]=——————=||=——————————————————————=||=——————-=[ By rayh4c ]=————————=||=————-=[ rayh4c@80sec.com ]=——————-=||=——————————————————————=|Author: rayh4c [80sec]EMail: rayh4c#80sec.comSite: http://www.80sec.comDate: 2008 阅读全文

posted @ 2012-04-05 17:02 bw_0927 阅读(164) 评论(0) 推荐(0)

openssl之ANS1_TIME

摘要：http://hi.baidu.com/kaiser_empire/blog/item/daab202de993482a359bf7ae.htmlOpenssl 代码中提供了函数 ASN1_TIME_set ，把 time_t 格式的时间转化为 ASN1_TIME函数原型为ASN1_TIME *ASN1_TIME_set(ASN1_TIME *s, time_t t)但是没有找到类似 ASN1_TIME_get 函数，把 ASN1_TIME 转化为 time_thttp://marc.info/?l=openssl-users&m=106781789300592&w=2View 阅读全文

posted @ 2012-03-28 17:02 bw_0927 阅读(1785) 评论(0) 推荐(0)

用openssl创建自签名证书

摘要：http://kamailio.org/docs/modules/stable/modules/tls.htmlAssumptions------------The default openssl configuration (usually /etc/ssl/openssl.cnf)default_ca section is the one distributed with openssl and uses the defaultdirectories:...default_ca = CA_default # The default ca section[ C... 阅读全文

posted @ 2012-03-09 17:34 bw_0927 阅读(846) 评论(0) 推荐(0)

使用openssl api编程

摘要：http://www.ibm.com/developerworks/cn/linux/l-openssl.htmlhttp://www.ibm.com/developerworks/cn/linux/l-openssl3.html 共3个部分OpenSSL API 的文档有些含糊不清。因为还没有多少关于 OpenSSL 使用的教程，所以对初学者来说，在应用程序中使用它可能会有一些困难。那么怎样才能使用 OpenSSL 实现一个基本的安全连接呢？本教程将帮助您解决这个问题。学习如何实现 OpenSSL 的困难部分在于其文档的不完全。不完全的 API 文档通常会妨碍开发人员使用该 API，而这通常阅读全文

posted @ 2011-12-28 11:06 bw_0927 阅读(3517) 评论(0) 推荐(0)

ssl握手协议

摘要：http://book.51cto.com/art/200807/82226.htmhttp://www.cnblogs.com/happyhippy/archive/2007/05/14/746476.htmlhttp://blog.csdn.net/wolfzone025/article/det... 阅读全文

posted @ 2011-12-23 09:53 bw_0927 阅读(1945) 评论(0) 推荐(0)

数字证书

摘要：SSL 是一种协议，为了能够使用 SSL 协议，组织或企业需要一张SSL证书。 SSL 证书是一种小型的数据文件，内含有关您企业组织详细信息的密钥通常包含： * 您的域名或服务器名 * 您公司的名称及地址 * 在某些情况下，您的详细联系方式为了激活浏览器的 SSL 传输功能，企业组织需要申请并在其服务器上安装SSL 证书。根据申请的证书种类，企业组织需要经过不同级别的审核。一旦证书安装完毕，就能够通过https://www.domain... 来访问网站，通过这样的地址访问，会告诉服务器与浏览器间建立安全的连接。一旦当安全连接建立完毕，服务器与浏览器之间的所有数据传输都是安全可靠的。SSL 证阅读全文

posted @ 2011-12-20 14:47 bw_0927 阅读(300) 评论(0) 推荐(0)

nonce和timestamp在Http安全协议中的作用（写的很不错）

摘要：http://www.cnblogs.com/bestzrz/archive/2011/09/03/2164620.html前段时间给客户网站做新浪微博账号登录功能，对OAuth协议以及相关的一些安全协议做了一些研究，顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了，而是针对OAuth请求头里的nonce（随机数）、timestamp（时间戳）、signatrue（签名）这些参数的作用做一下总结。首先看一下HTTP规范里定义的Basic认证。Basic认证及其安全问题Basic认证是一个流程比较简单的协议，整个过程可以分为以下三个步骤：a）客户端使用GET方法向服务器请求资阅读全文

posted @ 2011-12-13 10:52 bw_0927 阅读(420) 评论(0) 推荐(0)

digest 认证

摘要：http://blog.sina.com.cn/s/blog_53b15ed5010006t9.html“摘要”式认证（ Digest authentication）是一个简单的认证机制，最初是为HTTP协议开发的，因而也常叫做HTTP摘要，在RFC2671中描述。其身份验证机制很简单，它采用杂凑式（hash）加密方法，以避免用明文传输用户的口令。摘要认证就是要核实，参与通信的双方，都知道双方共享的一个秘密（即口令）。当服务器想要查证用户的身份，它产生一个摘要盘问（digest challenge），并发送给用户。典型的摘要盘问如下：Digest realm="iptel.org&q 阅读全文

posted @ 2011-12-07 10:14 bw_0927 阅读(398) 评论(0) 推荐(0)

base64

摘要：http://base64.sourceforge.net/b64.chttp://www.5dmail.net/html/2004-1-30/200413084348.htm我打赌当你见到Base64这个词的时候你会觉得在哪里见过，因为在你能够上网看到这篇文章的时候你已经在后台使用它了。如果您对二进制数有所了解，你就可以开始读它了。打开一封Email，查看其原始信息（您可以通过收取、导出该邮件用文本编辑器查看）。你会看到类似这样的一个效果：Date: Thu, 25 Dec 2003 06:33:07 +0800From: "eSX?!" <snaix@yeah.n 阅读全文

posted @ 2011-10-28 19:12 bw_0927 阅读(273) 评论(0) 推荐(0)

Never too late

公告

文章分类 - 安全，SSL