一.CSRF攻击 CSRF攻击概述: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一.其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御.然而,对于大多数人来说,CSRF 却依然是一个陌生的概念.即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失.…

安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit…

6-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(Wi-Fi模块SSL连接MQTT) 由于GPRS是直接和GPRS基站进行连接,其实对于GPRS而言,即使不加SSL也挺安全,对于咱一般人而言是监控不到GPRS的数据的 为了保证更安全点,所以咱就加上SSL 这节的测试代码是使用的升级篇里面的这个代码 先看最简单的方式实现SSL 无需添加证书,直接设置已安全模式连接具有安全通信的8883端口 请根据自己的修改 然后把源码下载开发板即可,我也测试不了数据哈..…

5-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(配置MQTT的SSL证书,验证安全通信) 首先确定自己的固件打开了SSL,升级篇里面的固件我打开了SSL,如果自己下载的是这个固件SSL就打开了 如果自己的固件没有打开SSL,可以自己编译 编译参考 6-STM32物联网开发WIFI+GPRS基础篇(编译lua固件NodeMcu 8266) 其实使用起来很方便,毕竟是单向认证,其实严格上来讲需要把证书下载到Wi-Fi模块里面,我没有下载过..... 因为我…

一.问题 在使用Docker运行容器化应用时,宿主机通常先要从Registry服务(如Docker Hub)下载相应的镜像(image).这种镜像机制在开发环境中使用还是很有效的,团队成员之间可以很方便地共享同样的镜像. 然而在实际的生产环境中,当大量主机需要同时从Registry下载镜像运行容器应用时(比如发布新版本,打补丁等情形),Registry 服务往往会成为镜像分发的瓶颈,应用镜像需要较长时间才能传送到所有主机上,使得应用发布的周期大大延长. 对此,许多企业提出了P2P加速镜像下载的解…

一.开篇 首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为毕竟是有些破解类的东西.但是我觉得从这篇文章相反的是能够带来一些启发.大家应该都知道Reflector这个反编译软件还有一个插件是专门用来改IL的插件叫Reflexil,这里我们也要用到前面…

知识点: 掌握TCP/IP的体系分层结构 掌握TCP/IP的各一层功能特点 掌握TCP/IP的数据在各层的名称 掌握TCP/IP的体系数据的封装和解封装 1.TCP/IP协议的历史 TCP/IP的起源可以追溯到由美国国防部(DoD)高级研究计划局(DARPA)在二十世纪六十年代后期和七十年代早期进行的研究. 下面摘要列出了TCP/IP发展史上的一些重大事件: 1970年,ARPANET主机开始使用网络控制协议(NCP),这就是后来的传输控制协议(TCP)的雏形. 1972年,Telnet协议推出…

一.app与服务端交互确保来源的安全 作为一个移动互联网App,天生是需要和服务器通信的.那么,服务器如何识别客户端的身份?我们如何保证数据传输过程中的安全性?要靠两个东西:使用AppKey做身份识别,使用AppSecret校验数据. 这两个东西的定义可以参考淘宝开放平台上这种比较严肃的说法:AppKey客户端调用API时的唯一标识,服务器通过App Key来鉴别应用的身份.调用API接口时必须传入的参数.App SecretApp Secret是服务端给客户端分配的密钥,用来保证应用来源的可靠…

笔者Q:972581034 交流群:605799367.有任何疑问可与笔者或加群交流 1.限制用户su 限制能su到root的用户. 操作步骤 使用命令 vi /etc/pam.d/su修改配置文件,在配置文件中添加行.例如,只允许test组用户su到root,则添加 auth required pam_wheel.so group=test. 2.添加口令策略 加强口令的复杂度等,降低被猜解的可能性. 操作步骤 使用命令 vi /etc/login.defs 修改配置文件. PASS_MAX_…

1.权限管理 从模块.表单.数据审核.功能按钮全面数据安全验证及管理. 2.ip验证 数据接口访问进行IP校验 3.登录.操作日志.程序安全日志  系统所有用户登录.操作全部日志记录. 程序安全日志操作可查看我之前写过[LogHelper 日志记录帮助类]. 4.SQL注入校验过滤 a.表单控件js前端校验,特殊字符过滤 b.采用Global.asax的Application_BeginRequest事件过滤敏感字符. c.request请求过滤 特殊字符过滤可查看我之前写过[采用Global.…