首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明登陆功能的公开性,让无数的攻击者都试图猜测用户名和密码,从而获得未授权访问系统的权利。
作为系统的使用者,必须让自己的系统更加健壮,以应对狡猾的攻击者。
作为攻击者,需要去观察系统的各种细节情况,获得贴近实际的信息。2、 智能化的蛮力攻击登陆步骤我们首先需要有一个弱密码的系统,这...
分类:
其他好文 时间:
2015-03-07 22:49:15
阅读次数:
170
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明攻城的时候,城门总是最容易被攻破的地方。
而登陆功能的公开性,让无数的攻击者都试图猜测用户名和密码,从而获得未授权访问系统的权利。
这种攻击几乎无处不在,有系统的攻击,也有无聊人士的攻击,设置一些搞错了用户名用户的无聊尝试。2、 前提和准备我们首先需要有一个弱密码的系统,这样才可...
分类:
编程语言 时间:
2015-03-07 21:21:15
阅读次数:
219
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明攻城的时候,城门总是最容易被攻破的地方。
如果一个WEB系统不够安全,往往是从登陆上面就出现了问题。
许许多多的web应用没有或者很少对用户密码的强度进行控制,这样的话,很容易被人在这里找到漏洞;2、 常见保密性不强的密码非常短甚至空白的密码;
密码和用户名完全相同;
初始的...
分类:
其他好文 时间:
2015-03-07 21:20:56
阅读次数:
141
(Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描写叙述。其身份验证机制非常easy,它採用杂凑式(hash)加密方法,以避免用明文传输用户的口令。摘要认证就是要核实,參与通信的两方,都知道两方共享的一个秘密...
分类:
Web程序 时间:
2015-03-07 17:06:53
阅读次数:
141
生成好了之后,我把copy到coding的公钥处,然后修改了测试代码,却在提交代码时候又跳出来请输入用户名和密码,这个就纳闷了。git push有两种方式,ssh方式和https方式。而https方式是不同的,具体来说,就是url信息的不同,实际的验证机制也是不同的。当建立了本机密钥之后,使用ssh方式实际上是不需要再次验证的,而https则每次都需要输入密码。而ssh方式更安全,不需要很麻烦去输...
分类:
其他好文 时间:
2015-03-03 13:42:18
阅读次数:
554
关键词:SSL,PKI,MAC摘 要:SSL利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。本文介绍了SSL的产生背景、安全机制、工作过程及典型组网应用。缩略语:缩略语英文全名中文解释AESAdvanced Encryption Standard高级加密...
分类:
其他好文 时间:
2015-02-27 14:47:46
阅读次数:
224
记录一、java中的数据加密Java提供的安全模型和API加密基础知识使用JAVA实现加密二、Java提供的安全模型和API2.1、Java语言本身的安全性自动内存管理:对于生成的对象在生命周期结束后会自动销毁自动数组溢出检查等:如数组下标越界字节代码的验证机制:转化为class字节码文件运行独特的...
分类:
编程语言 时间:
2015-02-23 22:23:32
阅读次数:
270
tomcat验证机制是如何实现的呢?tomcat验证机制能满足我们实际所需吗?...
分类:
其他好文 时间:
2015-02-06 16:46:39
阅读次数:
224
这几天一直在搞OAuth2.0的东西,写SDK啥的,为了更加深入的了解服务端的OAuth验证机制,就自己动手搭了个php下OAuth的环境,并且将它移植到了自己比较熟的tp框架里。废话不多说,开动。其实网上是有OAuth2.0的php版本的。你可以在http://code.google.com/p/...
分类:
Web程序 时间:
2015-02-02 00:36:55
阅读次数:
287
浏览器端的缓存规则 新鲜度(过期机制):1)HTTP协议报头中带有完整的过期时间,并仍在有效内。 2)浏览器已经使用过缓存且在一个会话中检查过新鲜度 校验值(验证机制):浏览器再次请求,通过此值判定是否获取新的...
分类:
其他好文 时间:
2015-01-31 20:42:22
阅读次数:
153
