摘要： 7.4. 永久登录 永久登录指的是在浏览器会话间进行持续验证的机制。换句话说，今天已登录的用户明天依然是处于登录状态，即使在多次访问之间的用户会话过期的情况下也是这样。 永久登录的存在降低了你的验证机制的安全性，但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证，而是提供了记住登录的选择。 图7-2. 攻击者通过重播用户的cookie进行未授权访问 据我观察，最常见的有... 阅读全文

摘要： 7.2. 密码嗅探 尽管攻击者通过嗅探（察看）你的用户和应用间的网络通信并不专门用于访问控制，但要意识到数据暴露变得越来越重要，特别是对于验证信息。 使用SSL可以有效地防止HTTP请求和回应不被暴露。对任何使用https方案的资源的请求可以防止密码嗅探。最好的方法是一直使用SSL来发送验证信息，同时你可能还想用SSL来传送所有的包含会话标识的请求以防止会话劫持。 为防止用户验证信息不... 阅读全文

摘要： 7.3. 重播攻击 重播攻击，有时称为演示攻击，即攻击者重现以前合法用户向服务器所发送的数据以获取访问权或其它分配给该用户的权限。 与密码嗅探一样，防止重播攻击也需要你意识到数据的暴露。为防止重播攻击，你需要加大攻击者获取任何用于取得受限资源的访问权限的数据的难度。这主要要求做到避免以下做法： 设定受保护资源永久访问权的数据的使用； 设定受保护资源访问权的数据的暴露（甚至是只提供临时访... 阅读全文

摘要： 很多Web应用被其糟糕的身份验证与授权机制所困扰。本章主要讨论相关这些机制的漏洞，传授一些帮助你不犯通病的方法。我将通过一些例子进一步说明这些方法，但请注意不要把这些示例与其上下文割裂开来看，理解其中包含的原则和方法是很重要的。只有到那个时候你才能对它们进行正确运用。 通过验证我们可以确定一个用户的身份。典型的做法是简单地使用用户名和密码进行检查。这样我们就能确定登录用户是一个授权用户。 ... 阅读全文

摘要： 7.1. 暴力攻击 暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。 对于访问控制，典型的暴力攻击表现为攻击者通过大量的尝试去试图登录系统。在多数情况下，用户名是已知的，而只需要猜测密码。 尽管暴力攻击没有技巧性可言，但词典攻击似乎有一定的技巧性。最大的区别是在进行猜测时的智能化。词典攻击只会最可能的情况列表中进行穷举，... 阅读全文

摘要： 从今天起,和大家一起学习用python/karrigell做网站. 对于能搜到这篇文章的兄弟,一定是对karrigell是什么有大致的了解了,但是如果不知道也没关系.这个单词虽然很复杂,而且金山词霸不知道该怎么解释,但实际上的意思却很简单. karrigell,一个支持用python开发web程序的框架,说的再明白一些,就是一个可以解释python脚本的web服务器.如果你用 python写了一个... 阅读全文

摘要： Rockety的 Karrigell 使用体验 1. Karrigell 1.1. 配置文件 配置选项在配置文件中设定。默认为服务器目录中的Karrigell.ini。你可以在命令行把它设为其它的文件。 配置文件分为几个部分： 1.1.1. [Directories] root 设置root选项为根目录的完整路径，你从那里发布文档。初始安装这一项没有设定，默认为服务器目录，即... 阅读全文

摘要： 引用：http://wiki.woodpecker.org.cn/moin/DatabaseModules Python 数据库接口模块::-- swordsp [2007-01-16 13:36:01] 目录 专用数据库连接模块 MySQL SQLite PostgreSQL Oracle ... 阅读全文

摘要： 4ZPyUG通用文章模板 AideTemplate CC厅专用文章模板 CPUG会课报名表模板 CPUG会课通知模板 ... 阅读全文

摘要： 在安装gadfly的时候，虽然看了安装文件，但还是感觉无从下手，于是就直接运行了setup.py ,然后把gadfly文件夹直接复制到了Karrigell-2.4.0/database/目录下竟然就能用了，呵呵！！！ 心情不错！！！ import gadfly cx = gadfly.gadfly() cx.startup( "persons","C:\/\/Karri... 阅读全文