CSRF(Cross-SiteRequestForgery)跨站点请求伪造,这种攻击方式的特点是:攻击者盗用你的身份,以你的名义进行某些非法操作。CSRF能够使用你的帐户发送邮件,获取你的敏感信息,甚至盗走你的财产。当我们打开或登录某个网站后,在浏览器与网站之间将会产生一个会话,在这个会..
分类:
其他好文 时间:
2015-12-24 10:50:15
阅读次数:
306
1.用NSUserDefaults存储配置信息注:本次使用NSUserDefaults存储信息是在不考虑安全问题的前提下。分两种情况:1.如果是密码用户名等敏感信息,请使用Keychain存储用户敏感信息,我将在后面写一篇用Keychain存储用户敏感信息2.如果是设置 记住密码、第一次打开应用引导...
分类:
移动开发 时间:
2015-12-20 22:28:32
阅读次数:
187
信息安全主要是防敏感信息泄漏,一般采取以下措施:1、防截图:加水印2、防拷贝:网页禁止拷贝3、敏感数据加密:平台的用户信息,涉及银行账号、证件号的,不得存明文4、显示最少量的数据:如果不需要,就不在页面上显示,可以不显示全部的,就部分用*号代替,特别注意有的不展示给用户的,也不能隐藏在HTML内容中...
分类:
其他好文 时间:
2015-12-17 10:32:08
阅读次数:
119
一、漏洞描述和危害Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root...
分类:
其他好文 时间:
2015-12-16 22:51:43
阅读次数:
184
memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。修复方案:因memcache无权限控制功能,所以需要用户对访问来源进行限制。方案一:如果memcache...
分类:
系统相关 时间:
2015-12-16 12:00:28
阅读次数:
207
默认情况下,我们配置在domain.xml或host.xml文件中的信息都是明文,对一些敏感信息就显得安全性不够,可以使用jboss提供的vault机制来进行加密下面的内容来自http://www.cnblogs.com/yjmyzz/p/how-to-encrypt-datasource-pass...
分类:
其他好文 时间:
2015-12-14 19:04:26
阅读次数:
208
http效率要更高一些、https的安全性更强。http:超文本传输协议,用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比...
分类:
Web程序 时间:
2015-12-09 17:09:38
阅读次数:
120
本文作者:浅蓝前段时间有人发过搜云的源码,都好长时间了。这次我放出个最新的。是在他换模板之前的源码。(现在的搜云后端基本没什么变化 换了个模板而已)同时审计出来了一些漏洞。。我里面的数据库配置信息等重要敏感信息换成了"马赛克"以下附上审计出的漏洞1.user.ph#sql注入265行$card = ...
分类:
其他好文 时间:
2015-11-26 19:07:04
阅读次数:
483
PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的php安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。下面我们分析几个会引发安全问题的PHP配...
分类:
Web程序 时间:
2015-11-13 16:01:24
阅读次数:
309
需求:Nagios在邮件告警的时候使用sendemail来发送邮件。默认web管理界面下Configuration-->ObjectType:Commands-->notify-host-by-emailnotify-service-by-email会显示发送邮件账户的登录密码通过:nagios的宏变量来隐藏掉显示出来的密码(自定义宏变量)vi/usr/local/n..
分类:
移动开发 时间:
2015-11-09 19:08:41
阅读次数:
382
