现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的钱通过篡改请求数据购买大金额的商品,如果是实物的话,发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。 所以,不管是实物也好,虚拟商 ...
分类:
其他好文 时间:
2018-09-24 00:41:55
阅读次数:
1109
前言 大家对支付漏洞的理解通常都是篡改价格,已有的对支付漏洞的总结也是对现有的一些案例的经验式归类,没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程,在线支付厂商的接入方式开始,深入业务分析整个在线交易流程中容易出现的安全问题。 支付宝/在线支付流程 支付宝即时到账接口开发流程 ...
分类:
其他好文 时间:
2018-09-24 00:37:26
阅读次数:
204
使用JWT来实现对API的授权访问 Beginner java思维导图 前天 什么是JWT JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各个系统之间用JSON作为对象安全地传输信息,并且可以保证所传输的信息不会被篡改。 JWT通常有两 ...
分类:
Web程序 时间:
2018-09-21 10:59:34
阅读次数:
220
简单的来说:SSL是安全传输的一种安全协议,SSH只是在传输的时候为了防止"中间人"篡改数据而提供的安全的"通道" 在使用的时候我们只关心传输数据的安全性,那么在对于传输层和应用层,在数据请求返回的时候就存在安全性的问题: 1."中间人"篡改数据,并且可以伪装为服务器提供给客户端数据 由此就有了SS ...
分类:
其他好文 时间:
2018-09-11 19:44:27
阅读次数:
227
P2P互联网金融平台项目SSM+Redis+Mysql+Bootstrap+JQuery项目实战 ...
分类:
数据库 时间:
2018-09-05 19:54:46
阅读次数:
725
保证RESTful API的安全性,主要包括三大方面: a) 对客户端做身份认证 b) 对敏感的数据做加密,并且防止篡改 c) 身份认证之后的授权 1、对客户端做身份认证,有几种常见的做法: 1)在请求中加签名参数,为每个接入方分配一个密钥,并且规定一种签名的计算方法。要求接入方的请求中必须加上签名 ...
1、SSL是什么,为什么发送HTTPS请求时需要证书验证? 1.1 SSL:安全套接字层。是为了解决HTTP协议是明文,避免传输的数据被窃取,篡改,劫持等。 1.2 TSL:Transport Layer Security,传输层安全协议。TSL其实是SSL标准化后的产物,即SSL/TSL 实际上是 ...
分类:
Web程序 时间:
2018-09-03 13:43:47
阅读次数:
5186
产生原因 HTTP 不具备安全功能。 在客户端可以篡改请求。 跨站脚本攻击 XSS 攻击方式: 通过提交的信息中带入 js 脚本或 html 标签。 提前闭合标签,有些甚至不用特殊处理。 执行操作或者引入三方 js 。 解决方案: 对提交内容进行编译,“" 转 “\>”。防止文本解析成标签。 ...
分类:
Web程序 时间:
2018-08-30 20:11:38
阅读次数:
217
本文大纲 一、提出问题 二、数字签名 三、实现步骤 四、参考代码 五、后记 六、参考资料 一、提出问题 最近在做一个项目,需要对一个现成的产品的数据库进行操作,增加额外的功能。为此,需要对该产品对数据库有什么操作进行研究(至于怎么监控一个产品的操作会引发什么数据库操作,以 ...
分类:
数据库 时间:
2018-08-22 16:55:14
阅读次数:
178
优化说明: 一.关闭selinux 二.更改为阿里yum源 三.提权dm用户可以使用sudo 四.优化ssh远程登录配置 五.设置中文字符集 六.设置时间同步 七.历史记录数及登录超时环境变量设置 八.调整linux描述符 九.定时清理邮件服务临时目录垃圾文件 十.锁定关键系统文件,防止被提权篡改 ...
分类:
其他好文 时间:
2018-08-20 22:59:52
阅读次数:
383
