文章列表 | 月光中的污点

文章列表

标签: 安全

当前位置: 首页 / 标签 / 安全

Shiro 基础教程

Apache Shiro 是 Java 的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。 Shiro 包含 10 个内容,如下图:

Java 实现加密数据库连接

在很多项目中,数据库相关的配置文件内容都是以明文的形式展示的,这存在一定的安全隐患。 在开发和维护项目时,不仅要关注项目的性能,同时也要注重其安全性。 我们都知道项目启动时,Spring 容器会加载配置文件并读取文件中的内容,那么我们可以下边步骤操作:

CentOS 7.2 安装 RabbitMQ

RabbitMQ 是轻量级且易于部署的消息中间件。它支持多种消息传递协议,可以在多个操作系统环境中运行,为大多数流行的语言提供了广泛的开发工具。 安装 RabbitMQ 之前需要安装 Erlang。 vim /etc/yum.repos.d/rabbitmq-erlang.repo

MySQL 5.7 安全操作

笔者之前写过《MySQL 性能优化技巧》文章,但没有涉及到 MySQL 安全方面的知识。虽说这是 DBA 需要学习的内容与后端开发人员关系不大,但俗话说技多不压身,即便不深入学习,也需要对其相关内容有所了解。 测试环境 MySQL 5.7.20 以下便是笔者浅学后的内容总结。

Web 漏洞分析与防御之点击劫持(三)

## 一、全称 点击劫持,顾名思义,用户点击某个按钮,却触发了不是用户真正意愿的事件。 ## 二、原理 用户在登陆 A 网站的系统后,被攻击者诱惑打开第三方网站,而第三方网站通过 iframe 引入了 A 网站的页面内容,用户在第三方网站中点击某个按钮(被装饰的按钮),实际上是点击了 A 网站的按钮。 ## 三、演示攻击 演示图如下: ![image](http://images.extlight.com/web-security-5.gif) <!-- more --> 用户登录论坛系

Web 漏洞分析与防御之 CSRF(二)

## 一、全称 跨站请求伪造(Cross-site Request Forgery) ## 二、原理 在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、盗取用户资金等)。 <!-- more --> ## 三、攻击方式 笔者以网站的发帖功能为案例对 CSRF 攻击进行简单的讲解。 ### 3.1 提交 form 表单 下图为模拟攻击演示图

Web 漏洞分析与防御之 XSS(一)

## 一、全称 跨站脚本攻击(Cross Site Scripting) ## 二、原理 通过在网站中的输入框写入 script 脚本或引入 script 文件,如果网站未过滤输入内容,将会解析该脚本。 如果脚本的功能是获取网站的 cookie,cookie 中又保留一些敏感信息,则后果有可能很严重。 ## 三、类型 * 反射型攻击:脚本当作 url 的参数进行注入执行 * 存储型攻击:脚本被存储到 DB 后,读取时被解析执行 <!-- more --> ## 四、注入点 ##