引用一个CSRF讲解示例来帮助理解CSRF攻击。 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。 黑客 Mallory ...
阅读全文作者:黑白电影_ 链接:https://www.jianshu.com/p/013f810cdb75 來源:简书 简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。 1.背景介绍 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie ...
阅读全文JWT: JSON Web Token, 是一个Open standard for Passing claims (Security information) Between two paties. 申明传输。它是: Self-containded: carries all the informaiton necessary within itself. JSON object on its own. 主要被用在:Mainly used in web appl ...
阅读全文Operating as a community of like-minded professionals, OWASP issues software tools and knowledge-based documentation on application security. Everyone is free to participate in OWASP and all of our materials are available under a free an ...
阅读全文Java 应用程序环境的策略(对不同来源的代码指定权限)由 Policy 对象来表示。更明确地说,就是由 Policy 类(包含在 java.security 包中)的实现抽象方法的 Policy 子类来表示。 Policy 对象所用策略信息的源位置由 Policy 实现决定。缺省 Policy 实现从静态策略配置文件获得自己的信息。本文档的其余部分叙述了缺省 Policy 实现及其所读取的策略文件中必须使用的语法。有关使用&nb ...
阅读全文当连接SSL server时出现下面的错误,这是因为当你的application试图通过SSL连接另一个application时(HTTPS,IMAPS,LDAPS),它只能够连接它信任的application。信任的方法就是使用的trust store里导入对应的certificate, 或者certificate是被它信任的known CA签发的。通常在$JAVA_HOME/lib/security/cacerts这个默认的truststore中。 javax.net.ssl.SS ...
阅读全文如何导出certificate? 方法1) 通过浏览器导出证书,这个功能好像firefox比较简单,Chrome和safari找起来比较麻烦。 firefox->url(https://www.google.com)->click "i(nformation)"->more information->view Certificate->Details->Export即可。 方法2) 还可以通过下 ...
阅读全文对称密钥加密(Symmetric Key Cryptography):加密与解密使用相同密钥。 非对称密钥加密(Asymmetric Key Cryptography):加密与解密使用不同密钥。 对称密钥加密又叫专用密钥加密或共享密钥加密,即发送和接收数据的双方必使用相同的密钥对明文进行加密和解密运算。对称密钥加密算法主要包括:DES、3DES、IDEA、FEAL、BLOWFISH等。 非对称加密算法是一种密钥的保密方法。非对称加 ...
阅读全文Apache Shiro是一个应用程序安全框架(Application security framework). 提供了4个安全支持: authentication, authorization, enterprise session management and cryptography。 Shiro产生的背景http://shiro.apache.org/what-is-shiro.html。 JAAS提供了authentication, authorization. ...
阅读全文Spring Security 是一个功能强大且高度可定制的 Java 安全框架,用于保护基于 Spring 的应用程序。`spring-security-web` 和 `spring-security-core` 是 Spring Security 的两个主要模块,它们各自承担不同的职责: ### spring-security-core 1. **核心安全机制**:`spring-security-core` 模块包含 Spring Security 的核心安全机制,如认证(Auth ...
阅读全文