安全热门博客列表 - 企业架构 ITeye博客频道 - 第8页

博客专栏推荐

本月博客排行

年度博客排行

wdcp站群安全策略

站群安全策略： 1、wdcp用户名不要用admin； 2、wdcp欢迎页面、iProber2.php、phpinfo.php改名； 3、web权限改为775权限；4、网站后台删除install文件夹；5、网站后台admin文件夹改名。提示：wdcp欢迎页面位置 /www/web/default

wdcp 安全策略

think1991 评论(0) 有417人浏览 2016-10-04 01:02

业务功能安全点注意事项2

私信及反馈 1、常见XSS漏洞，防止措施，将特殊字符过滤。 2、使用白名单和黑名单结合。文件管理 1、限制文件管理功能操作的目录。 2、限制文件管理功能访问权限。 3、禁止上传特殊字符文件名的文件，利用文件名攻击的案例http://www.myhack58.com/Article/html/3/7/2016/73694.htm。安全体系建议： 1、密 ...

安全

飞翔神话评论(0) 有423人浏览 2016-09-06 20:45

按照自己的理解对密码加盐加密。当用户注册时候会先生成盐值，保存，然后保存账户和密码。当用户去登录的时候，我们需要先通过我们的用户名去查询我们的盐值，然后再根据盐值和密码去匹配对应的数据库。当然这里可能出现一个用户名有多个盐值的问题，这可能也是很多网站注册利用用户名去唯一识别，当然也跟需求有关，不能修改用户名.。如果是多个的就需要循环去比对.这次加密，主要讲MD5自己改写然后加上盐值去保存,双 ...

Security java

代码家的乐趣评论(0) 有5061人浏览 2016-09-02 16:45

基于用户角色的细粒度validate

今天群里小伙伴有个需求，希望通过role来控制pojo字段校验。采用方式为spirng securtity+ spring validate 实现 spring4.0+ 默认支持jsr303。spring validate 也支持自定义valdiate注解。因此采用自定义validate注解实现代码地址：https://github.com/ChenXun1989/role-valida ...

java spring security springboot

LoveLZY 评论(0) 有798人浏览 2016-08-26 19:24

数据库数据安全的九个最佳实践

本文节选自《Netkiller Architect 手札》作者：netkiller 第 5 章数据库安全目录 5.1. 保护表 5.2. 保护表字段 5.3. 时间一致性 5.4. 为数据安全而分库 5.5. 内容版本控制,撰改留痕 5.6. 用户/角色认证 5.7. Token 认证 5.8. 数据加密 5.8.1. AES_ENCRYPT / AES_D ...

netkiller mysql oracle security

netkiller.github.com 评论(0) 有4348人浏览 2016-08-22 09:36

菜鸟的THINKPHP安全讲堂[2]-XSS篇

什么是XSS：这里通俗的讲，就像是SQL注入一样，XSS攻击也可以算是对HTML和JS的一种注入。你本来希望得到是从用户那得到一段有用的文本文字，但用户提交给你的却是别有用心的可执行javascript或其它脚本(这里并没有把破坏样式或文档文本当作攻击)，当你再把这些提交的内容显示到页面上时，XSS攻击就发生了。关于XSS的攻击方式和场景层出不穷，本文也只是做的普及一些基本的安全防护知识（不 ...

攻击 xss php 安全

nbczw8750 评论(0) 有1018人浏览 2016-08-17 09:11

网站安全问题总结

网站安全问题总结 (1)在个人信息修改页面,有上传头像的功能, 但是提交时,可以随便设置头像参数的值,也就是存在如下问题: 我上传的是图片a, 我提交修改信息时,可以设置头像为b 根本原因:有两个地方可以修改头像地址解决方法: 上传头像时,若上传成功,则把上传成功的链接地址存储到session中, 提交修改时,头像地址不从参数中获取,而是从session中获取. (2)手 ...

安全限制次数

hw1287789687 评论(0) 有1032人浏览 2016-07-20 16:49

XSS跨站漏洞修复

避免XSS跨站漏洞的方法之一主要是将用户所提交的内容输入输出进行过滤，包括请求路径过滤与参数过滤。这里，我写一个过滤器专门处理XSS跨站漏洞，思路是将带有非法字符的请求转发到一个指定页面，将参数的非法字符过滤去除。过滤器代码如下： package com.eshore.itmp.model.web.security; import java.io.IOException; impor ...

security 正则表达式

ahomeeye 评论(0) 有4919人浏览 2016-07-08 11:47

记录一下Spring Security的HTTP元素

竟然距离上一次博客有五个月之久了。。。今天简单说下spring security配置http遇到的两个问题吧： <security:http pattern="/v2.0/tokens/**" use-expressions="true" create-session="stateless" auto-config=" ...

spring security

wwwcomy 评论(0) 有878人浏览 2016-07-07 15:29

工具类之Token

在项目开发中，简易的安全机制可以采用token验证的方式，如下token工具类： import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; import org.apache.commons.lang.RandomStringUtils; import com. ...

java token 安全工具类验证

周凡杨评论(0) 有5418人浏览 2016-06-13 16:39

Restful安全认证及权限的一种解决方案

一、Restful安全认证常用方式 1.Session+Cookie 传统的Web认证方式。需要解决会话共享及跨域请求的问题。 2.JWT JSON Web Token。 3.OAuth 支持两方和三方认证，是目前使用比较广泛的安全认证方式，但对于不使用第三方登录的认证的方式不太适用。二、JWT简介 JWT由三部分组成，包括Header、Payload和Signature。 JSON We ...