- 综合排序
- 最热优先
- 最新优先
- 来自专栏python3
Linux安全问答(3)
3、保护一个目录为只读。 # lidsconf -A -o /some/directory -j READONLY 此命令用保证一旦LIDS启用,任何人都不能列出或删除此目录及其中的内容。
91020发布于 2020-01-08 - 来自专栏python基础文章
网络安全——传输层安全协议(3)
前言 通过之前文章对SSL握手协议与SSL记录协议有了一定的了解网络安全——传输层安全协议(2) 本章将会继续讲解SSL的其他协议 一.SSL密钥更改协议 SSL密钥更改协议用以通知参与各方加密策略的改变 三.SSL协议安全性分析 SSL协议的安全性由采用的加密算法和认证算法所保证。实践证明,现有的加密和认证算法是安全有效的,但随着计算机技术和信息对抗技术的发展,一些新的问题和挑战随即产生。 这些发现促使产业界不得不发展更安全的散列算法,同时也使开发下一代更安全的SSL.协议提上了日程。 五.SSL安全优势 1.监听和中间人攻击 2.流量数据分析式攻击 3.版本重放攻击 4.检测对握手协议的攻击 5.会话恢复伪造 6.短包攻击 7.截取再拼接式攻击 3.数字签名问题 基于SSL.协议没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,则需要在协议中打补丁。这样做,在用于加密密钥的同时又用于数字签名,在安全上存在漏洞。
65720编辑于 2023-10-15 - 来自专栏python基础文章
网络安全——网络层安全协议(3)
一.IPSec采用的安全技术 1.IPSec的安全特性 IPSec有两个基本安全目标,决定它应该拥有以下5个安全特性。 (3)数据完整性 数据完整性。防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。 ---- 3.预置共享密钥认证 IPSec也可以使用预置共享密钥进行认证。预共享意味着通信双方必须在IPSec策略设置中就共享的密钥达成一致。 IPSec还支持3DES算法,3DES可提供更高的安全性,但计算速度更慢。 ---- 7.密钥管理 (1)动态密钥更新。IPSec策略使用“动态密钥更新”法决定一次通信中新密钥产生的频率。 (3)Diffie-Hellman算法。要启动安全通信,通信两端必须首先得到相同的共享密钥(主密钥),但共享密钥不能通过网络相互发送,因为这种做法极易泄密。
66830编辑于 2023-10-15 - 来自专栏python基础文章
网络安全协议(3)
在普通操作系统的基础上,各种形式的安全增强操作系统增强了安全性,使得系统的安全性能够满足实际应用的需要。 这方面的例子如国内的安胜3.0操作系统、作为基于Linux核心的安全增强操作系统、达到国标GB17859的第3级标准。 评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6EAL7共七个等级。 EAL4是系统设计,测试和复查级。 ---- 3.国产操作系统的安全等级 相对来说,中国的安全操作系统研究起步较晚,但也开展了一系列工作。 (3)Asianux操作系统 2008年,红旗软件(中国)、MiracleLinux公司(日本)和韩软公司(韩国)联合签署了安全Asianux操作系统联合开发协议,宣称Asianux将成为最先进的安全
53530编辑于 2023-10-15 - 来自专栏python3
3A安全认证服务
整个系统在网络管理与安全问题中十分有效。 基于AAA安全认证的协议包括两个:radius和tacacs RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866 无论通过tacacs还是radius服务器都可以实现网络设备用户的统一管理,集中认证,从而实现安全的认证与登录。 AAA服务器的工作原理: ?
2.3K10发布于 2020-01-07 - 来自专栏知了一笑
SpringBoot3安全管理
标签:Security.登录.权限; 一、简介 SpringSecurity组件可以为服务提供安全管理的能力,比如身份验证、授权和针对常见攻击的保护,是保护基于spring应用程序的事实上的标准; 在实际开发中 ,最常用的是登录验证和权限体系两大功能,在登录时完成身份的验证,加载相关信息和角色权限,在访问其他系统资源时,进行权限的验证,保护系统的安全; 二、工程搭建 1、工程结构 2、依赖管理 在starter-security -- 安全组件 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security userBaseList.size() > 0){ return userBaseList.get(0) ; } return null ; } } 3、
59620编辑于 2023-09-01 - 来自专栏sofu456
sqlite3线程安全
sqlite3 sqlite3.c文件中有sqlite_threadsafe的定义 /* ** The SQLITE_THREADSAFE macro must be defined as 0, 1, define SQLITE_THREADSAFE 1 /* IMP: R-07272-22309 */ #endif #endif 使用c++调用sqlite多线程调用异常,可以尝试重新编译sqlite3, 或者修改配置,sqlite3_threadsafe函数可以查看lib是否是线程安全的编译库 使用sqlite3_config函数,配置如下参数 #define SQLITE_CONFIG_SINGLETHREAD 1 /* nil */ #define SQLITE_CONFIG_MULTITHREAD 2 /* nil */ #define SQLITE_CONFIG_SERIALIZED 3 5 /* sqlite3_mem_methods* */ #define SQLITE_CONFIG_SCRATCH 6 /* void*, int sz, int N */
84110编辑于 2022-05-06 - 来自专栏悟空聊架构 | 公众号
WCF安全3-Transport与Message安全模式
(3)HTTPS将HTTP和TLS/SSL两者结合起来。对于WCF来说,所有基于HTTP协议的绑定采用的Transport安全都是通过HTTPS来实现的。 2.TLS/SSL解决的问题: 客户端对服务端的验证; 通过对传输层传输的数据段(Segment)进行加密确保信息的机密性 3.TLS/SSL采用的协议是对称加密 ? 3.在传输层(而不是应用层)解决对客户端的认证。这就决定了可供选择的认证方式(或者说可以采用的凭证)比较少。 2.安全模式的优缺点 优点: (1)较之Transport安全,这种基于应用层实现的安全机制在认证方式上具有更多的选择 (2)能够提供端到端的安全 (3)互操作性,跨平台 缺点: (1)性能较之Transport 差 三、混合安全模式 (1)消息的一致性、机密性和客户端对服务端的认证通过Transport安全模式来实现; (2)采用Message安全模式实现服务端对客户端的认证; (3)充分利用Transport
95080发布于 2018-05-18 - 来自专栏嵌入式程序猿
TC3xxx安全应用
TC334 操作概述 SEooC AURIX™TC3xx是为各种汽车应用开发的MCU。 在ISO 26262-1中定义的系统至少由3个元素组成相关元件:传感器、控制器和执行器。图中显示了AURIX™TC3xx的典型使用电子控制单元[ECU]的上下文环境背景。 由统集成商决定,以确定在响应故障时激活哪种操作,如下图所示: 系统级硬件需求 AURIX™TC3xx已被开发为可在E/E系统中作为[ECU]运行的SEooC。 故障管理架构 硬件潜在故障度量的自测试 根据ISO26262标准,潜在故障是未被探测的多点故障,可以被分为两类: 不能被感知和探测的影响任务逻辑的多点故障 安全机制不能探测的故障 TC3xx系列提供四种不同的基于 AURIX TC3xx提供了一个可以在每个SRAM实例上执行的硬件自测(MBIST)。根据ISO 26262的规定,每个驾驶周期应至少覆盖一次潜在故障探测。
1K10编辑于 2024-02-23 - 来自专栏python3
【STRIDE】【3】安全威胁分析设计
为了描述方便,以下图为例进行说明,该数据流图是“斗医”系统解析业务配置规则的一个功能,即客户端启动系统时会通过PwmLauncher调用到PwmBusinessUtil从XML文件中读取规则,然后把规则转换为PwmBusiness对象存储在PwmCache缓存中
1.1K30发布于 2020-01-08 - 来自专栏啄木鸟软件测试
安全测试工具(连载3)
,到针对WEB应用进行快速扫描的AppScan standard edition,以及进行安全管理和汇总整合的 AppScan enterprise Edition 等。 其安装在Windows操作系统上,可以对网站等Web应用进行自动化的应用安全扫描和测试。本书介绍的AppScan版本为V9.0.3.10。 AppScan特性如下。 l Java脚本安全分析:AppScan中介绍了JavaScript安全性分析,分析抓取HTML页面漏洞,并允许用户专注于不同的客户端问题和DOM(文档对象模型)为基础的XSS问题。 l “测试”:利用“探索”的结果,使用“军火库”,发送导弹,进行安全攻击的行为。 l “完全测试”:即先探索再测试,使用AppScan可以仅“探索”不“测试”。 2. 27 记录并查看浏览器 3.
1.1K20发布于 2019-12-12 - 来自专栏渗透测试专栏
渗透测试web安全综述(3)——常见Web安全漏洞
常见Web安全漏洞 信息泄露概念 信息泄露是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。 、.txt svn泄露 重要的文件是/.svn/wc.db和/.svn/entries,同样可利用dvcs-ripper工具 web-inf/web.xml泄露 web-inf是Java Web应用的安全目录 返回根信息 http://url/CVS/Entries 返回所有文件的结构 bk clone http://url/name dir 取回源码 目录遍历概念 目录遍历(目录穿越)是一个Web安全漏洞 类型(常见) IIS ApacheTomcat Nginx WebLogic Jboss 本文部分图片摘自深信服安全服务认证工程师课程课件中,为方便个人学习使用,勿作商用!!!! 任何未经授权使用本文档中技术信息的行为都是严格禁止的,并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识,不得用于非法入侵、破坏信息系统等恶意活动。
1.5K20编辑于 2024-09-27 - 来自专栏IMWeb前端团队
从零开始学web安全(3)
这篇文章就是要学习一下xss各种编码的知识,内容可能比较枯燥~~ 最近sng要求大家做安全考试,跟xss相关有两个个非常经典的题目: ? ? 题目1答案是b,题目2答案是c和d。 html实体编码,十进制、十六进制ASCII码或unicode字符编码,样式为“&#数值;”,例如“<”可以编码为<和<。 test3我们把%编码成了%,发现还是可以顺利跳转,这又是为啥?原因也很简单,这个a标签被插入到body之后,就变成了属性里有html字符实体的场景。 test4我们在test3的基础上把第一个&通过js unicode编码编程\u0026,发现居然还可以跳转! 好吧,这篇就先到这里了~~ 下个月继续安全方面的知识分享。大家清明快乐。。。
1K100发布于 2017-12-29 - 来自专栏python3
H3C端口安全技术
在网络日益发达的今天,安全是不得不关注的一个话题。而在企业中威胁交换机端口的行为比较多,例如未经授权的用户主机随意连接到企业的网络中。 端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。 启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。 这里我们来介绍H3C设备的一些配置问题。 1、端口隔离技术。 端口隔离功能为用户提供了更安全、更灵活的组网方案。 ? ?
70710发布于 2020-01-10 - 来自专栏性能与架构
3种基础的 REST 安全机制
安全是 RESTful web service 的基石,我们主要讨论以下3种主要的方法: Basic authentication Oauth 2.0 Oauth 2.0 + JWT 1. 亚马逊的做法 在用户创建亚马逊账号的时候,会生成一个永久的、超级安全的 access token,需要用户保护好。 最大的好处就是只需要发送一次用户名密码,用于获取 token,而且使用签名机制非常安全,不在乎消息被拦截。
74820发布于 2019-12-30 - 来自专栏IMWeb前端团队
从零开始学web安全(3)
这篇文章就是要学习一下xss各种编码的知识,内容可能比较枯燥~~ 最近sng要求大家做安全考试,跟xss相关有两个个非常经典的题目: ? ? 题目1答案是b,题目2答案是c和d。 html实体编码,十进制、十六进制ASCII码或unicode字符编码,样式为“&#数值;”,例如“<”可以编码为<和<。 %2F%2Fwww.baidu.com\'">test3'; // test4 // url编码 -> html test3我们把%编码成了%,发现还是可以顺利跳转,这又是为啥?原因也很简单,这个a标签被插入到body之后,就变成了属性里有html字符实体的场景。 test4我们在test3的基础上把第一个&通过js unicode编码编程\u0026,发现居然还可以跳转!
67620发布于 2019-12-04 - 来自专栏我的网安魔法之旅
Java安全之CommonsCollections3链
前言 CC3这条链比较特殊,和CC1与CC6这两条链是直接在链的代码中执行任意代码相比,CC3是通过动态类加载机制来实现自动执行恶意类的代码的。 优势: 沙箱安全机制:比如自己写的 String.class 不被加载,防止核心类被随意篡改 避免类的重复加载:当父类加载器已经加载了该类的时候就不需要子类加载器加载了 可以见得真正核心的部分其实是 yv66vgAAADQAGwoABgANCQAOAA8IABAKABEAEgcAEwcAFAEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBAApTb3VyY2VGaWxlAQAKSGVsbG8uamF2YQwABwAIBwAVDAAWABcBAAtIZWxsbyBXb3JsZAcAGAwAGQAaAQAFSGVsbG8BABBqYXZhL2xhbmcvT2JqZWN0AQAQamF2YS9sYW5nL1N5c3RlbQEAA291dAEAFUxqYXZhL2lvL1ByaW50U3RyZWFtOwEAE2phdmEvaW8vUHJpbnRTdHJlYW0BAAdwcmludGxuAQAVKExqYXZhL2xhbmcvU3RyaW5nOylWACEABQAGAAAAAAABAAEABwAIAAEACQAAAC0AAgABAAAADSq3AAGyAAISA7YABLEAAAABAAoAAAAOAAMAAAACAAQABAAMAAUAAQALAAAAAgAM Base64.getDecoder().decode("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 | JohnFrod Java篇Commons Collections 3 | Arsene.Tang
63240编辑于 2023-05-16 - 来自专栏嘉为动态
微软安全公告—2017年3月
微软于北京时间2017年3月14日发布了18个新的安全公告,其中9个为严重等级。 我们推荐您安装所有更新,对于暂时只采用部分更新的用户,我们推荐您首先部署等级为“严重”的安全公告。安全公告每月更新一次,旨在解决严重的漏洞问题。 ---- 2017年3月新的安全漏洞 以下是所有安全公告的内容,供您参考。 、Windows 8.1(用于基于 x64 的系统)纯安全补丁、Windows Server 2012纯安全补丁、Windows Server 2012 R2仅安全、Windows RT 8.1、Windows 公告标识:MS17-006标题Internet Explorer 累积安全更新 (4013073)摘要此安全更新修复了 Internet Explorer 中的多个漏洞。
95830发布于 2018-12-21 - 来自专栏啄木鸟软件测试
软件安全性测试(连载3)
2 软件安全测试 2.1 XSS注入 XSS(Cross SiteScripting),由于与层叠样式表(CascadingStyle Sheets,CSS)的缩写混淆。因此一般缩写为XSS。 3)DOM型 XSS 在讲解DOM型 XSS前先简单介绍一下什么是DOM树。对于任何一个HTML网页都可以看作是从<html>标签到文本节点的一颗“树”,这颗“树”叫做DOM树。 3. XSS会话挟持 如果将上面XSS PayLoad的alert(/XSS/)改为alert(document.cookie),看看会发现什么情形。代码如下。
90631发布于 2019-12-12 - 来自专栏FreeBuf
安全科普:SQLi Labs 指南(Part 3)
Freebuf上有两篇SQLi Labs的教程安全科普:SQLi Labs 指南 Part 1和安全科普:SQLi Labs 指南 Part 2。这两篇教程只讲到了第八课。 那么我们这里用的办法和第五课一样了,注入1′) and (select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand 注入1′) and (select 1 from(select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()* 注入1′) and (select 1 from(select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()* 注入1″ and (select 1 from(select count(*),concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand()*2
1.2K90发布于 2018-02-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号