这段时间做新的Android项目的客户端和和REST API通讯框架架构设计,使用了很多新技术,最终的方案也相当简洁优雅,客户端只需要传Java对象,服务器端返回json字符串,自动解析成Java对象, 无状态安全验证基于JWT实现,JWT规范的细节可以参考我前面的文章。JWT的token和数据防篡改签名统一放在HTTP Header中,这样就实现了对请求内容和返回结果的无侵入性,服务器端也可以在全局过滤器中统一处理安全验证。
Android客户端使用了Volley网络请求框架和Gson解析库,...
分类:
其他好文 时间:
2015-08-18 14:14:26
阅读次数:
301
CLR支持两种程序集:强命名程序集、弱命名程序集,两者的区别在于,强命名程序集是被发布者使用了自己的公钥/私钥对进行了程序集的签名,能唯一性标识程序集的发布者的程序集,并且可以使用密钥对程序集进行唯一性标识、保护和版本控制,这里所提到的保护就是我们需要一起讨论的程序集防篡改。 首先我们一起来看个例....
分类:
其他好文 时间:
2015-08-15 13:32:06
阅读次数:
224
最近研究REST接口的无状态安全验证,这个文章有一定参考价值,但相当不完善,token只是简单用了服务器回传的, 没有实现数据签名和防篡改,另外git代码也有问题, 我简单修改了,可以看到文章中的效果。
我修改代码的git地址: https://github.com/offbye/jwt-angular-spring
原文地址 http://niels.nu/blog/2015/...
分类:
编程语言 时间:
2015-08-13 12:16:06
阅读次数:
403
javascript中对象内置有多个属性Configurable,Writable,Enumerable,Value,Get和Set,来控制属性的行为。同样的ES5也有几个方法,来指定对象的行为。我们知道,javascript中的对象是可以共享的,也是默认可拓展的://一旦将对象设置防篡改,就不能撤销了
//众所周知,一般的对象是可以随意拓展的
var person = {name:'liufang...
分类:
编程语言 时间:
2015-08-05 10:44:42
阅读次数:
135
网站安全狗功能涵盖了网马/木马扫描、防SQL注入、防盗链、网站后台防护、一句话木马防护、防CC攻击、网站流量实时监控、网站CPU监控、、IP黑白名单管理、网页防篡改功能等模块。能够为用户提供实时的网站安全防护...
分类:
Web程序 时间:
2015-07-01 12:35:57
阅读次数:
373
年初上线一款市场占有率很高的网页防篡改系统,一个目的是真正了解一下防篡改系统的结构,二.当然提高网站的防篡改防护能力。三.合规。下面来简单说一下整体感受;(1)防篡改系统的结构如图,防篡改系统分为两部分,分别部署于两台服务器。一台作为信息上传发布的服务器,主要..
分类:
Web程序 时间:
2015-04-20 13:20:17
阅读次数:
232
本文介绍类型检测,作用域安全的构造函数,惰性载入,函数绑定,函数柯里化(函数套用),防篡改对象,函数节流,观察者模式等高级技巧
分类:
Web程序 时间:
2015-04-18 13:00:15
阅读次数:
168
最近想和朋友搞一个防篡改的东西,我自己罗列了一些,咨询下各位篡改网页的途径和相应的方法,小弟不才,不胜赐教.一、网页篡改的途径(1)SQL注入后获取Webshell:黑客通过web应用程序的漏洞,通过SQL语句提交非法的语句到数据,通过系统以及第三方软件的漏洞获取web的控制权限或者服务器权限;(2...
分类:
Web程序 时间:
2015-04-13 18:00:47
阅读次数:
442
目前网上所有开放api的网站中,数据的调用都是采用同一种方式,即:http:www.xxx.com/aa=1&bb=2...,原后对这些参数按字典顺序排序后进行md5加密,将md5加密串与接口方提供的key接在参数后面提交,如http:www.xxx.com/aa=1&bb=2&sg=md5(......
分类:
Web程序 时间:
2015-03-30 22:41:07
阅读次数:
256
动态数据认证:一,什么是动态数据认证(DDA)由于上篇>已经对静态数据认证部分做了详细的分析,一些基本知识本章不重复说明,需要明确指出的是:无论SDA和DDA,两者都是属于脱机认证的范围。在上一篇中,我们知道静态数据认证(SDA)的目标是解决发卡行静态数据的防篡改,但局限是无法防止复制卡或者伪造卡的...
分类:
其他好文 时间:
2015-03-17 19:28:57
阅读次数:
147
