1,display_errors display_errors 错误回显,一般常用语开发模式,但是很多应用在正式环境中也忘记了关闭此选项。错误回显可以暴露出非常多的敏感信息,为攻击者下一步攻击提供便利。推荐关闭此选项。 display_errors = On 开启状态下,若出现错误,则报错,出现错误 ...
分类:
Web程序 时间:
2016-04-24 20:11:30
阅读次数:
144
why选择性序列化? 实际开发过程中,我们常常会遇到这样的问题,这个类的有些属性需要序列化,而其他属性不需要被序列化,打个比方,如果一个用户有一些敏感信息(如密码,银行卡号等),为了安全起见,不希望在网络操作(主要涉及到序列化操作,本地序列化缓存也适用)中被传输,这些信息对应的变量就可以加上tran ...
分类:
其他好文 时间:
2016-04-21 10:18:12
阅读次数:
121
TalkTalk的信息泄漏事件导致约15万人的敏感信息被暴露,涉嫌造成这一事件的其中一名黑客使用的并不是很新的技术。事实上,该技术的「年纪」比这名15岁黑客还要大两岁。 [译注:TalkTalk是英国电话和宽带供应商,这件信息安全事故发生在2015年10月份,当时这件事情还挺轰动的,上了新闻头条,其 ...
分类:
数据库 时间:
2016-04-20 15:08:03
阅读次数:
270
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HT ...
分类:
Web程序 时间:
2016-04-19 12:07:57
阅读次数:
176
参考文献:http://www.cnblogs.com/zlbx/p/4888312.html Filter,过滤器,顾名思义,即是对数据等的过滤,预处理过程。为什么要引入过滤器呢?在平常访问网站的时候,有时候发一些敏感的信息,发出后显示时 就会将敏感信息用*等字符替代,这就是用过滤器对信息进行了处 ...
分类:
其他好文 时间:
2016-04-15 00:17:34
阅读次数:
257
1.get、post区别 Get Post 获取/提交数据 主要获取数据,不修改数据 主要提交数据,可修改数据 是否需要form表单 不一定 需要 安全性 查询字符串会显示在地址栏的URL中,不安全。(用户密码类信息会显示在URL中) 数据不会显示在URL中,但传递敏感信息仍需加密 缓存 支持 不支 ...
分类:
Web程序 时间:
2016-04-13 11:12:31
阅读次数:
152
ActiveDirectory权限管理服务(ADRMS)是一种信息保护技术,它与支持ADRMS的应用程序协同工作,以防止在未经授权的情况下使用数字信息(无论是联机和脱机,还是在防火墙内外)。ADRMS适用于需要保护敏感信息和专有信息(例如财务报表、产品说明、客户数据和机密电子邮件消息)的..
分类:
其他好文 时间:
2016-04-11 10:28:42
阅读次数:
229
1、页面表单传输为防止网页表单数据提交时被窃取,表单提交时,需要对表单内容进行加密处理,但对于登录时的密码,不仅要进行加密处理,还得保证每次提示登录请求时,密码的密文不一致,要不然黑客绕过表单也能访问后台系统。这时需要在初始化登录表单提交时,每次都能获取一个..
分类:
其他好文 时间:
2016-04-02 07:16:01
阅读次数:
143
1.把包含敏感信息的请求转为https请求,则较为安全,但如何只把有需要安全的请求转为https,而不是不加分辩就把所有请求都转为https呢?可以用requiresChannel() Any time a request comes in for /spitter/form, Spring Sec ...
分类:
移动开发 时间:
2016-03-31 16:53:48
阅读次数:
203
HTTPS和HTTP的区别 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信 息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息, 因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密 ...
分类:
Web程序 时间:
2016-03-28 15:28:10
阅读次数:
205
