Web安全入门学习

前言    最近在公司做Linux下的PHP开发,所以乘此机会学习了下Web安全,了解了常见的Web安全漏洞,以及对应的防御方法(使用DVWA进行学习)。暴力破解场景    在类似用户登陆界面,如果系统没有限制用户的尝试次数,且没有验证码的情况下,就存在该漏洞利用方法import requests URL = r‘http://192.168.56.101/DVWA/vulnerabilities
阅读本文

SQL SERVER 2008 R2安全配置与防暴力破解

0x00 sql server 2008 权限介绍在访问sql server 2008的过程中,大致验证流程如下图:当登录操作一个数据库的时候,会经过三次验证:1. 操作系统的验证 2. SQL SERVER登录名的验证 3. 数据库用户名的验证 当使用windows身份认证模式的时候,使用的windows账号会通过操作系统的验证,然后以sysadmin的服务器角色通过SQL SERVER
阅读本文

阿里巴巴Java开发手册-安全规约

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、操作别人的数据,比如查看、修改别人的订单。2. 【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明:查看个人手机号码会显示成:158****9119,隐藏中间4位,防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定,防止SQL注入,禁止字
阅读本文

java vector的多线程安全是否有用

vector的使用主要有如下两种场景:(1)vector所谓的多线程安全,只是针对单纯地调用某个方法它是有同步机制的。如add,多个线程都在对同一个容器add元素,vector能够保证最后总数是正确的,而ArrayList没有同步机制,就无法保证。(2)vector的多线程安全,在组合操作时不是线程安全的。比如一个线程先调用vector的size方法得到有10个元素,再调用get(9)方法获取最后
阅读本文

技巧:如何提升Oracle用户密码的安全性

环境:Oracle 11.2.0.4客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好。1.官方解决方案2.删减版解决方案3.测试验证方案4.用户最近一次的登录时间1.官方解决方案实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性。这个在之前的文章
阅读本文

白话没有绝对安全的系统(who am i)(电影版)

技术博客的可读性非常重要,这也是技术博客写作的重要原因。没有绝对安全的系统是中文翻译的电影名称,whoami是它的英文名称,好吧,说实话,翻译的名字非常具有蕴意。上图片1、每一个超级英雄都有着悲惨的家庭背景,蜘蛛侠的父母:死了……蝙蝠侠的父母:被杀了……超人的父母:被炸没了。2、在现实中,我是无足轻重的无名之辈,一个孤僻的人,一个失败者,一个怪人,但我属于网络的世界。3、MRX有三个信条:第一,没
阅读本文

iOS开发之登录注册系统

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 16.0px “PingFang SC“ } p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px “PingFang SC“; color: #333333 } p.p3 { margin: 0.0px 0.0px 0.0px 0.0px; font:
阅读本文

CentOS 7安装MariaDB 10详解以及相关配置

第一步:添加 MariaDB yum 仓库首先在CentOS操作系统中/etc/yum.repos.d/目录下添加 MariaDB 的YUM配置文件MariaDB.repo文件。vi /etc/yum.repos.d/MariaDB.repo在该文件中添加以下内容保存:[mariadb] name = MariaDB baseurl = http://yum.mariadb.org/10.2/ce
阅读本文

Java并发-线程安全性

首先了解一下多线程的概念多线程:两段或以上的代码同时进行,多个顺序执行流。 并发和并行的区别并发:做一下这个做一下那个。并行:同时进行。 线程和进程的区别进程:资源分配的基本单位,运行中的程序。进程中包括多个线程,线程们共享进程的资源。线程:处理器调度的基本单位。 线程的状态: 线程创建的方法:(1)继承Thread类 (2)实现Runnable接口 (3)匿名内部类、Lambda表达式 (4)带
阅读本文

Java线程安全synchronize学习

Java中,synchronized关键字有2种用法:作为关键字修饰方法修饰一个代码块[TOC]线程争用为了探究synchronized的具体用法,可以用一个简单的程序来说明:package fc.learn.java.synchronize; import java.util.Random; public class LearningSynchronized { public enum
阅读本文

Go Web 编程 第一章 Web相关概念

第一章 Go与Web应用Go学习群:4156609351.1 Web应用在计算机的世界里,应用(application)是一个与用户进行交互,并完成用户特定任务的软件程序。而Web应用则是部署在Web之上,并通过Web来使用的软件程序。一程序满足以下两个条件,我们可以把它看做是一个Web应用:1.这个程序必须向发送命令请求的客户端返回HTML,而客户端则会向用户展示渲染后的HTML。2.这个程序在
阅读本文

web安全性测试用例

建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1.   输入验证客户端验证 服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应3.输入特殊字符,如:~!@#$%^&*()_+:”{}|4.输入中英文空格,输
阅读本文

Unity协程(Coroutine)原理深入剖析再续

Unity协程(Coroutine)原理深入剖析再续  By D.S.Qiu                前面已经介绍过对协程(Coroutine)的认识和理解,主要讲到了Unity引擎在执行协程(Coroutine)的原理(Unity协程(Coroutine)原理深入剖析)和对协程(Coroutine)状态的控制(Unity协程(Coroutine)管理类——TaskManager工具分享),
阅读本文

用C#来控制高级安全Windows防火墙

有的时候我们需要在自己的产品中检测的状态,并有可能需要加入一些规则甚至需要关闭掉高级安全Windows防火墙。下面就告诉如何来做:的状态界面如下:已测试环境 Windows Server 2008 Enterprise X64 / Windows Server 2008 R2 Enterprise第一步:添加对于Windows Firewall with Advanced Security API
阅读本文

解决“你没有权限访问,请与网络管理员联系”

解决“你没有权限访问,请与网络管理员联系” 局域网共享时提示你“没有权限访问,请与网络管理员联系请求访问权限“.局域网共享无法访问被共享的文件夹。   方法/步骤 关于局域网共享的几点知识    在windows操作系统中,微软对局域网共享做了不少限制。默认情况下,共享文件需要加密,及必须通过你电脑上已有的用户名和密码来访问你的电脑,才能访问你共享的文件。而且如果用户密码为空,则
阅读本文

前端要求

1.精通CSS、javaScript,理解w3c盒子模型、熟练使用jquery等,了解HTML5,CSS3规范(加分项:使用less优先)。 2.需要能熟练使用css+div进行web页面布局;需要能熟练编写页面交互js,使用Ajax+JSON等与后台进行数据交互。 3.使用过任何一种Javascript/css框架,如ext,jqueryUI,miniUi,bootstrap,A
阅读本文

RFID手持终端食品追溯解决方案

从古代到现在,衣食住行都是和人们息息相关的事,民以食为天,食物安全是关系国计民生的头等大事。自从三鹿奶粉事情以后,有关各界的信誉备受国人质疑,随着国家免检商品的取消,怎么保证食物安全成为了社会重视的焦点。  1、系统构成  南京肯麦思食物安全追溯RFID处理方案主要分为三级系统,分别为质检基地、公司基地、监控节点。  该系统由电子标签、RFID读写设备、RFID手持式读写器、电子标签写入和主动
阅读本文

安全测试===8大前端安全问题(上)

当我们说“前端安全问题”的时候,我们在说什么“安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问题就是“后端安全问题”,所有发生在浏览器、单页面应用、Web页面当中的安全问题则算是“前端安全问题”。比如说,SQL注入漏洞发生在后端应用中,是后端安全问题,跨站脚本攻击(XSS)则是前端安全问题,因为
阅读本文

赢在面试之Java泛型篇(十二)

139. Java中的泛型是什么 ? 使用泛型的好处是什么?        泛型是Java SE 1.5的新特性,泛型的本质是参数化类型,也就是说所操作的数据类型被指定为一个参数。好处:        1、类型安全,提供编译期间的类型检测       2、前后兼容        3、泛化代码,代码可以更多的重复利用        4、性能较高,用GJ(泛型JAVA)编写的代码可以为java编译器和
阅读本文