摘要： 附录C. 加密 作为一本相关安全方面的书，通常加密是需要提及的话题。我之所以在本书的主体部分忽略了加密问题，是因为它的用途是狭窄的，而开发者应从大处着眼来考虑安全问题。过分依赖于加密常常会混淆问题的根源。尽管加密本身是有效的，但是进行加密并不会神奇地提高一个应用的安全性。 一个PHP开发人员应主要熟悉以下的加密方式： l 对称加密 l 非对称加密（公钥） l... 阅读全文

摘要： 安装supesite必备： 1.bbs必需安装 bbs必需要能够成功访问，否则你在执行install.php时候，即使你配置好了数据库的一些属性，但是点击按钮的话， 只是会告诉你配置ok，而不会有任何提示； 其实如果你bbs能访问的话，添加的的数据库的属性如果不对的话，是应该有提示的； 2.Zend Optimizer zend不安装的话，是会报编码错误，就是二进... 阅读全文

摘要： 7.1. 暴力攻击 暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。 对于访问控制，典型的暴力攻击表现为攻击者通过大量的尝试去试图登录系统。在多数情况下，用户名是已知的，而只需要猜测密码。 尽管暴力攻击没有技巧性可言，但词典攻击似乎有一定的技巧性。最大的区别是在进行猜测时的智能化。词典攻击只会最可能的情况列表中进行穷举，... 阅读全文

摘要： 很多Web应用被其糟糕的身份验证与授权机制所困扰。本章主要讨论相关这些机制的漏洞，传授一些帮助你不犯通病的方法。我将通过一些例子进一步说明这些方法，但请注意不要把这些示例与其上下文割裂开来看，理解其中包含的原则和方法是很重要的。只有到那个时候你才能对它们进行正确运用。 通过验证我们可以确定一个用户的身份。典型的做法是简单地使用用户名和密码进行检查。这样我们就能确定登录用户是一个授权用户。 ... 阅读全文

摘要： 7.3. 重播攻击 重播攻击，有时称为演示攻击，即攻击者重现以前合法用户向服务器所发送的数据以获取访问权或其它分配给该用户的权限。 与密码嗅探一样，防止重播攻击也需要你意识到数据的暴露。为防止重播攻击，你需要加大攻击者获取任何用于取得受限资源的访问权限的数据的难度。这主要要求做到避免以下做法： 设定受保护资源永久访问权的数据的使用； 设定受保护资源访问权的数据的暴露（甚至是只提供临时访... 阅读全文

摘要： 7.2. 密码嗅探 尽管攻击者通过嗅探（察看）你的用户和应用间的网络通信并不专门用于访问控制，但要意识到数据暴露变得越来越重要，特别是对于验证信息。 使用SSL可以有效地防止HTTP请求和回应不被暴露。对任何使用https方案的资源的请求可以防止密码嗅探。最好的方法是一直使用SSL来发送验证信息，同时你可能还想用SSL来传送所有的包含会话标识的请求以防止会话劫持。 为防止用户验证信息不... 阅读全文

摘要： 7.4. 永久登录 永久登录指的是在浏览器会话间进行持续验证的机制。换句话说，今天已登录的用户明天依然是处于登录状态，即使在多次访问之间的用户会话过期的情况下也是这样。 永久登录的存在降低了你的验证机制的安全性，但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证，而是提供了记住登录的选择。 图7-2. 攻击者通过重播用户的cookie进行未授权访问 据我观察，最常见的有... 阅读全文

摘要： 8.1. 源码暴露 你的WEB服务器必须要能够读取你的源确并执行它，这就意味着任意人所写的代码被服务器运行时，它同样可以读取你的源码。在一个共享主机上，最大的风险是由于WEB服务器是共享的，因此其它开发者所写的PHP代码可以读取任意文件。 通过在你的源码所在的主机上运行上面脚本，攻击者可以通过把file的值指定为完整的路径和文件名来使WEB服务器读取并显示任何文件。例如，假定... 阅读全文

摘要： 最近在学习python，下面列出了一些学习的资源： 1.下载与安装 python的安装与使用一样非常简单．python目前的最新发布版是2.4.2，可以去python的网站 下载，也可以点击此链接直接下载 windows 下的 msi 安装文件．安装时可以选择安装目录和组件，一般默认就可以了．安装好后，在windows下可以直接在＂开始＂菜单的程序组里找到新建的python组，里... 阅读全文

摘要： 网站就是要和数据库进行交互,否则什么都不用做了...今天我们来看一个叫MySQLdb的库,这个用... 阅读全文