- 综合排序
- 最热优先
- 最新优先
- 来自专栏python基础文章
网络安全——网络层安全协议(2)
(2)广域网:路由器到路由器模式,网关到网关模式。 (3)远程访问:拨号客户机,专网对Internet的访问。 (1)安全体系结构。包含一般的概念、安全需求和定义IPSec的技术机制。 (2)ESP协议。加密IP数据包的默认值、头部格式以及与加密封装相关的其他条款。 (3)AH协议。 SA(安全关联))表示了策略实施的具体细节,包括源/目的地址、应用协议、SPI(安全策略索引)等;SAD为进入和外出包处理维持一个活动的SA列表;SPD决定了整个VPN的安全需求。 ---- 2. (2)在IPSec驱动程序数据库中查找相匹配的出站SA,并将SA中的SPI插人IPSec包头。 (3)对数据包签名(完整性检查);如果要求机密,则另外加密数据包。 (2)通过目的地址和SPI,在IPSec驱动程序数据库中查找相匹配的人站SA。 (3)检查签名,对数据包进行解密(如果是加密包的话)。
90120编辑于 2023-10-15 - 来自专栏python基础文章
网络安全协议(2)
2.CC体系一共包括3大部分 分别是:信息技术安全性评价通用准则,信息技术安全评价通用方法,通用准则识别协议。 该部分是CC的总体结构简介,定义了信息技术安全性评估的一般概念和原理,并提出了评估的一般模型。整个评估的过程都要遵循这个一般模型。 第2部分:安全功能组件。 作为安全性评估对象的一系列软件、固件或硬件以及它们的文档,如操作系统、防火墙产品、计算机网络、密码模块等,以及相关的管理员指南、用户指南、设计方案等文档。 (2)保护轮廓(PP)。 EAL2:结构性测试级,证明TOE与系统层次设计概念一致。 EAL.3:工程方法上的测试及验证级,证明TOE在设计上采用了积极安全操作系统安全测评研究的工程方法。 EAL.7:形式化地验证设计和测试级,证明TOE的所有安全功能经得起全面的形式化分析 安全级别和组件之间的关系可以用一张表概括,如表1-2所示。
67650编辑于 2023-10-15 - 来自专栏nft市场
智能合约安全——delegatecall (2)
Attack.attack() 函数先将自己的地址转换为 uint256 类型(这一步是为了兼容目标合约中的数据类型)第一次调用 HackMe.doSomething() 函数;2.
37920编辑于 2022-08-03 - 来自专栏渗透测试专栏
渗透测试web安全综述(2)——Web安全概述
互联网刚刚开始是安全的,但是伴随着黑客(Hacker)的诞生,互联网变得越来越不安全。 黑客一词来源于“Hacker”,通常指对于计算机系统有深入的理解,能够发现其中的问题。 但是时代在发展,防火墙技术的兴起改变了互联网安全的格局。尤其是以思科、华为、深信服等代表的网络设备厂商,开始在网络产品中更加重视网络安全,最终改变了互联网安全的走向。 SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。 XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。 type=update,而由于应用程序没有对参数g做充足的过滤且将参数值直接显示在页面中,相当于 weibo.com 在页面中嵌入了一个来自于 2kt.cn的JS脚本。 而这种攻击,却是互联网安全维护人员最为无奈的攻击形式之一,信息泄漏、账户安全、网络安全无疑成为大众最关心的问题。
64720编辑于 2024-09-27 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
前言 本章将会讲解局域网中的数据链路层安全协议 一.局域网数据链路层安全协议 在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。 ---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
44630编辑于 2023-10-15 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
前言 本章将会讲解局域网中的数据链路层安全协议 一.局域网数据链路层安全协议 在IEEE802局域网标准中,涉及局域网安全的协议标准主要有802.10和802.1q。 ---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
60520编辑于 2023-10-15 - 来自专栏Android干货园
Kotlin初级(2)- - - 空安全.md
空类型、空安全 为了解决类似NPE这类的问题,现代编程语言包括Kotlin解决这类问题的方法就是把运行时的错误转变成编译期的错误。 > = arrayOf(1,2,null,3,null,5,6,null) // 传统写法 for (index in arrTest) { if (index == null){ : -1 println(length) Evils操作符 Evils其实不是一个操作符,而是evil的复数,而evil的意思在这里可以理解为屏蔽、安全的操作符,这样的操作符有三种: ? 这个操作符表示为安全的类型转换 !! 操作符 !! 操作符可谓是给爱好空引用异常的开发者使用,因为在使用一个可空类型变量时,在改后面加上!!操作符,会显示抛出的空指针异常 as? 操作副去替换掉as 在不确定是否可以安全转换的情况下不使用**toString()**等方法
84730发布于 2018-09-30 - 来自专栏啄木鸟软件测试
安全测试工具(连载2)
l自动的客户端脚本分析器,允许对 Ajax 和WEB 2.0 应用程序进行安全性测试。 l业内最先进且深入的 SQL 注入和跨站脚本测试。 2. 扫描 点击【Scan】按键,开始扫描。在扫描之前出现如20页面。通过它可以设置扫描类型、扫描报告以及扫描计划。 ? 20扫描前设置页面 点击【Create Scan】,开始扫描。 21为当前扫描安全级别信息。 ? 21当前扫描安全级别信息 22为扫描进度信息。 ? 22扫描进度信息 23为扫描服务器端的信息。 ? 23扫描服务器端的信息 24为最近扫描到的具有安全隐患的页面,点击进入后可以查看详情。 ? 24扫描安全漏洞信息 3. 25是一个SQL注入的安全漏洞报告。 ?
1.2K10发布于 2019-12-12 - 来自专栏蓝牙Ble/Mesh
BLE安全之SM剖析(2)
BLE安全之SM剖析(2) 上一章介绍了配对流程的第一阶段,剖析了配对第一阶段的配对请求包和配对响应包的各个字段的含义和使用。 Term Key (STK) Generation 传统配对方式,生成STK 阶段二:(LE Secure Connections): Long Term Key (LTK) Generation 安全配对方式 机端和设备端分别生成一个随机数,LP_RAND_I 和 LP_RAND_R 2. 主机将LP_CONFIRM_I发送给设备端, 设备端将LP_CONFIRM_R值发送给主机端 2. 双方分别生成一个随机数Na和Nb 2.
1.9K10编辑于 2023-02-28 - 来自专栏pankas的技术分享
初探java安全之反射(2)
Runtime.getRuntime().exec("calc"); 利用反射执行命令 总结上面的 getMethod 和 invoke ,大白话说就是我们一般这个样执行函数 Object.Method(arg1, arg2, ,或执行静态方法 Class.Method(arg1, arg2, ...) 用反射就是 Method.invoke(Object, arg1, arg2, ...) , Method.invoke(Class, arg1, arg2, ...)
59840编辑于 2022-10-27 - 来自专栏有价值炮灰
初探 Struts2 框架安全
因此,即便 Struts 已经日薄西山,对于 Java 安全研究者而言也是需要深入了解的目标,就像二进制研究员需要理解 “过时” 的 jmp esp 栈溢出利用方法一样。 getServletPath 是容器最终用于寻址 Servlet 的路径,即经过 normalize 和删除路径参数等操作的结果,在 Tomcat 中还进行了 URL 解码,可以认为是相对安全的。 相较之下 Spring Framework 则是通过反射来实现参数绑定,虽然代码实现更繁琐,但也确实更安全一些。 前后会被进行调用,其中 ParametersInterceptor 尤为特殊,因为其会自动将 HTTP 的请求参数绑定到 Java bean 上,这是 XWork 框架的一大特性,但同时也带来了潜在的安全问题 例如在对基于 Struts 的应用进行安全审计时,一个常见的任务是获取所有路由列表。
91320编辑于 2023-11-02 - 来自专栏JavaEdge
线程安全与锁优化1 线程安全2 锁优化
1.1 Java语言中的线程安全 按照线程安全的“安全程度”由强至弱来排序,我们可以将Java语言中各种操作共享的数据分为 不可变(Immutable) 不可变的对象一定是线程安全的。 满足线程安全 Java API中标注自己是线程安全的类,大多数都不是绝对线程安全的。 相对线程安全 就是我们通常意义上所讲的线程安全,需要保证对这个对象单独的操作是线程安全的,我们在调用的时候不需要做额外的保障措施,但是对于一些特定顺序的连续调用,就可能需要在调用端使用额外的同步手段来保证调用的正确性 线程兼容 对象本身并不是线程安全的,但是通过使用同步手段来保证对象在并发环境中可以安全的使用。 2 锁优化 2.1 自旋锁与自适应自旋 引入的原因是互斥同步对性能最大的影响是阻塞,挂起线程和恢复线程都需要转入内核态完成,给并发性能带来很大压力。
1K90发布于 2018-05-16 - 来自专栏python基础文章
【创作赢红包】网络安全——传输层安全协议(2)
前言 通过之前文章我们对于SSL协议进行了一定了解网络安全——传输层安全协议 本章将会继续讲解SSL握手协议与SSL记录协议。 一. (2)第二阶段——“用户身份认证阶段” 对用户身份进行认证,通常服务器方要求客户方提供经过签名的客户证书进行认证,并将认证结果返回给客户。 (2)客户问候消息发送完后,如果Server端需要进行认证,会发送它的证书。 SSl.握手协议定义了若干握手消息,用于在通信双方之间建立会话和协商安全属性。握手消息将提交给SSL.记录层,由记录层封装一个或多个SSL_Plaintext结构。 二.SSL 记录协议 1. 2.打包过程 记录层将数据块分裂为小于或等于214字节的SSL.PlainText记录。
38320编辑于 2023-10-15 - 来自专栏IMWeb前端团队
从零开始学web安全(2)
第2类我们称为黑名单,即:厂商会构建一个有危害的HTML标签、属性列表,然后通过分析用户提交的HTML代码,剔除其中有害的部分。 我们博客的评论框我测试了一下,应该是黑名单过滤的。 情况2非常容易验证,直接提交一个正常的a链接就完了~测试发现推断1是正确的,推断2是错的。但是当时推断2给了一个nice的新想法。直接提交a标签不行,但是在svg里一样可以嵌套a标签啊! 总结 尝试的时候确实了解了很多的东西,开发的时候很多东西可能确实自己也没有注意到,很大程度都是因为安全意识不足。 这次简单的hack让我尝试了不少好玩的东西~~ 下期继续学习web安全~ 继续向@sogili 乌云@心伤的瘦子 学习~ 继续xss~
1.3K60发布于 2018-01-08 - 来自专栏路过君BLOG from CSDN
springsecurity oauth2 端点安全源码
clientCredentialsTokenEndpointFilter .setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); OAuth2AuthenticationEntryPoint authenticationEntryPoint = new OAuth2AuthenticationEntryPoint(); authenticationEntryPoint.setTypeName
71330发布于 2020-06-19 - 来自专栏北京马哥教育
fail2ban保护linux安全
一、下载安装 #wget http://cdnetworks-kr-2.dl.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban- 0.8.4/fail2ban-0.8.4.tar.bz2 #tar xvfj fail2ban-0.8.4.tar.bz2 #cd fail2ban-0.8.4 #python /redhat-initd /etc/init.d/fail2ban # chkconfig --add fail2ban #service fail2ban start 注:如果重起iptables 记的一定还要重起fail2ban,不然他就不能生效,fail2ban的过滤表是在iptables 启动后在加入的. 那么就要修改fail2ban的启动规则,把上面那条改为 iptables -I INPUT 2 -p --dport -j fail2ban- 这样fail2ban就会把自己的规则作为INPUT
1.3K80发布于 2018-05-02 - 来自专栏嘉为动态
微软安全公告—2017年2月
微软于北京时间2017年2月21日发布了1个新的安全公告,为严重等级。本次更新主要修复MicrosoftWindows、Adobe Flash Player等组件的安全漏洞。 ---- 2017年2月新的安全漏洞 以下是所有安全公告的内容,供您参考。 、Windows Server 2012仅安全、Windows Server 2012 R2仅安全、Windows RT 8.1、Windows 10、Windows Server 2016)影响情况远程执行代码建议修补时限 2周以内重启要求需要重启 关于这些新发布的安全公告,可在以下页面中找到详细信息: https://technet.microsoft.com/zh-cn/library/security/ms17-feb.aspx 2012仅安全、Windows Server 2012 R2仅安全、Windows RT 8.1、Windows 10、Windows Server 2016)卸载信息使用控制面板中的添加删除程序详细信息
46330发布于 2018-12-21 - 来自专栏IMWeb前端团队
从零开始学web安全(2)
第2类我们称为黑名单,即:厂商会构建一个有危害的HTML标签、属性列表,然后通过分析用户提交的HTML代码,剔除其中有害的部分。 我们博客的评论框我测试了一下,应该是黑名单过滤的。 情况2非常容易验证,直接提交一个正常的a链接就完了~测试发现推断1是正确的,推断2是错的。但是当时推断2给了一个nice的新想法。直接提交a标签不行,但是在svg里一样可以嵌套a标签啊! 总结 尝试的时候确实了解了很多的东西,开发的时候很多东西可能确实自己也没有注意到,很大程度都是因为安全意识不足。这次简单的hack让我尝试了不少好玩的东西~~
70730发布于 2019-12-04 - 来自专栏啄木鸟软件测试
软件安全性测试(连载2)
4 OWASP Top 10与2013软件安全威胁OWASP Top 10对比图 4是2017软件安全威胁OWASP Top 10与2013软件安全威胁OWASPTop 10对比图。 2017软件安全威胁OWASP Top 10分别如下。 l A1:2017-注入。 l A2:2017-失效的身份认证。 l A3:2017-敏感数据泄露。 l A6:2017-安全配置错误。 l A7:2017-跨站脚本(XSS)。 l A8:2017-不安全的反序列化 l A9:2017-使用含有已知漏洞的组件。 2.html是同源的。 响应包 HTTP的响应代码概要如2所示 2 HTTP响应代码概要表 响应代码 内容 1XX 指示信息---表示接收到请求,继续进程 2XX 成功---表示请求已被成功接收、理解和接受 3XX
79740发布于 2019-12-12 - 来自专栏我的网安魔法之旅
Java安全之CommonsCollections2链
{ O value1 = this.transformer.transform(obj1); O value2 = this.transformer.transform(obj2); >=2,添加队列元素用于比较,且元素类型一致 queue.add(1); queue.add(2); // 放入真正的恶意对象 setFieldValue field2.setAccessible(true); field2.set(queue, comparator); // 设置PriorityQueue的comparator字段值为 | Atomovo PriorityQueue源码分析 | linghu_java Java篇Commons Collections 2 | Arsene.Tang Ysoserial CommonsColletions2 两个问题 | zhouliu ysoserial CommonsCollections2 详细分析 | D4ck
717100编辑于 2023-05-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号