应工作要求,需要对展示的内容进行敏感信息替换.琢磨的一些时间,编写的函数匹配率还是比较高的. 顺便说下思路,使用的是正则匹配替换和字符串替换.函数可以再改进. 先把需要匹配的内容写好相应的正则,然后进行全部匹配遍历.获取匹配结果数组A,同时获取匹配规则B,(解决内容有多次符合匹配规则的情况,导致最后替换出现结果一样的问题) 再根据结果A,和结果B,进行内容的真正匹配处理. 代码: <?php /** * 截取内容中的数字,替换为其他 * @param type $string * @param…

转载:http://blog.csdn.net/yanbober/article/details/46417531 1 背景 其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉.相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份.相信很多人都和我一样一直当作耳边…

1 背景 [工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处.尊重劳动成果] 事实上这篇文章可能有些小题大作,但回过头想想还是非常有必要的,有点阴沟里翻船的感觉.相信大家都知道Android API Level 8開始提供了为应用程序备份和恢复数据的功能.此功能的开关能够通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True.所以用户能够对我们应用程序进行数据备份.相信非常多人都和我一样一直当作耳边风过…

前言 开心一刻 一只被二哈带偏了的柴犬,我只想弄死隔壁的二哈 what:是什么 BeanFactoryPostProcessor接口很简单,只包含一个方法 /** * 通过BeanFactoryPostProcessor,我们自定义修改应用程序上下文中的bean定义 * * 应用上下文能够在所有的bean定义中自动检测出BeanFactoryPostProcessor bean, * 并在任何其他bean创建之前应用这些BeanFactoryPostProcessor bean * * Bean…

Spring Boot: 加密应用配置文件敏感信息 背景 我们的应用之前使用的是Druid数据库连接池,由于需求我们迁移到HikariCP连接池,druid 数据源加密提供了多种方式: 可以在配置文件my.properties中指定config.decrypt=true 也可以在DruidDataSource的ConnectionProperties中指定config.decrypt=true 也可以在jvm启动参数中指定-Ddruid.config.decrypt=true 但是HikariC…

如何删除GIT仓库中的敏感信息 正常Git仓库中应该尽量不包含数据库连接/AWS帐号/巨大二进制文件,否则一旦泄漏到Github,这些非常敏感信息会影响客户的信息安全已经公司的信誉.公司可能其它还有相关规定,如禁止私人邮件加入GIT仓库.如果违反这些规定,可能会面临辞退.高额罚款.或牢狱之灾等非常严厉的惩罚. 由于Git的正常操作流程,导致敏感信息一旦进入主分支,再怎么在新的Pull Request中删除,也无能为力了.其它人都能在历史记录中查询到历史记录中的配置.所以这要求对Git的签名和签入…

前言: 利用数据库视图,实现web接口查询敏感信息时动态脱敏. 具体目标:某接口为用户信息查询接口,返回敏感用户信息(id,姓名.手机号[敏感].身份证号[敏感]),如果web用户为管理员角色,则查询后返回明文用户信息,如果用户为普通用户信息,则查询后返回脱敏后的用户信息. 具体步骤: 一.在mysql中新建一个用户信息表,并添加几条数据 二.对上表创建脱敏后的视图,利用掩码技术脱敏,脱敏字段为phone和id_card ),)) ),'**************') as id_card f…

前言 出于安全考虑,现需要将数据库的中敏感信息加密存储到数据库中,但是正常业务交互还是需要使用明文数据,所以查询返回我们还需要经过相应的解密才能返回给调用方. ps:日常开发中,我们要有一定的安全意识,对于密码,金融数据等敏感信息事实加密存储保护. 这个需求说起来不是很难,我们只需要在执行 sql 之前,提前将指定数据进行加密.执行 sql 之后,获取返回结果,再进行的相应的解密.稍微改造下原有代码,很快完成需求. 现有加密算法如 RSA2 ,AES 等,密文长度将会是明文好几倍.上线加解密方案…

前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. PS:如有需要Python学习资料的小伙伴可以加点击下方链接自行获取http://t.cn/A6Zvjdun Linux命令行登录系统,MySQL时,输入的密码看不到的,怎么在执行Python脚本时,密码等敏感信息也不让它出现呢? 目录 1.效果 2. 使用 getpass 3. 使用click 1.效果 在终端输入密码,不显示 2.使用getpass模块 源码:其中原密码…

在项目中,有时候一些信息不便完全显示,只需要显示部分信息.现在提供一些隐藏敏感信息的操作方法,主要为对信息的截取操作: 1.指定左右字符数量,中间的*的个数和实际长度有关: /// <summary> /// 隐藏敏感信息 /// </summary> /// <param name="info">信息实体</param> /// <param name="left">左边保留的字符数</param&…

 1. SharedPreferences漏洞, 无法避免,所以不要在里面存储敏感信息2. 数据存储检测,content://com.starcor.launcherInfo/deviceInfo",这样的串,可以放在字符串资源中编译加密,或者加密存储在配置文件中,或者放到数据库中3. "http://apkinfo.voole.com/apk-upload-log.do",  这样的串,和上一个一样加密com/voole/logsdk/localservice/LocalS…

默认情况下,在jboss eap 6.2+ 管理控制台创建datasource后,会在standalone.xml(独立模式)或host.xml(域模式)中以明文保存相关敏感信息. 这会给服务器留下安全隐患,不过官方已经考虑到了这一点,给出了vault机制来进行加密,步骤如下: 1. 利用keytool生成keystore文件,参考命令如下: keytool -genseckey -alias -storepass mypassword -keystore /Users/jimmy/vault/…

1.把包含敏感信息的请求转为https请求,则较为安全,但如何只把有需要安全的请求转为https,而不是不加分辩就把所有请求都转为https呢?可以用requiresChannel() @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/spitter/me").hasRole("SPITTER&quo…

默认情况下,我们配置在domain.xml或host.xml文件中的信息都是明文,对一些敏感信息就显得安全性不够,可以使用jboss提供的vault机制来进行加密 下面的内容来自 http://www.cnblogs.com/yjmyzz/p/how-to-encrypt-datasource-password-with-jboss-eap-6.html 1. 利用keytool生成keystore文件,参考命令如下: keytool -genseckey -alias  -storepass …

在ASP.NET MVC项目中,使用AJAX向控制器发送GET请求获取JSON数据时,出现这个错误:"此请求已被阻止,因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站.若要允许 GET 请求,请将 JsonRequestBehavior 设置为 AllowGet". 其实从返回的这个错误信息我们已经可以知道解决方法了,看这个信息:”因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站“,说明我们只要使用POST请求就可以了.后面的 “若要允许 GET 请求,请将 Jso…

       近期业余时间写了一款应用<摇啊摇>,安智.安卓.360等几个应用商店已经陆续审核通过并上线.从有想法到终于将产品做出来并公布,断断续续花了近二个半月的业余时间,整体来讲还算顺利,尽管期间也遇到几个小技术难点.最后解决的还算惬意.今天说下当中一个小技术难点,如今想想这个小技术难点也非常寻常,但还是分享出来,希望对有同样疑惑的同学有帮助.        因为java语言自身特性的原因,导致android程序非常easy被反编译.尽管能够採用代码混淆的方式,可是假设用了第三方库.混淆脚…

当构建CS模式的应用程序时,在client側存储敏感信息(比如用户私要信息)可能导致非授权的信息泄漏. 对于Web应用程序来说,最常见的泄漏问题是在client使用cookies存放server端获取的敏感信息.Cookies是由webserver创建的,它具有一个指定的有效时间,保存在client.当client连接上server端时,client使用cookies中存储的信息向server端进行认证,通过后server端返回敏感信息. 在XSS攻击下,Cookies不能保证敏感信息的安全.不…

本文翻译自https://www.securecoding.cert.org/confluence/display/java/DRD00-J.+Do+not+store+sensitive+information+on+external+storage+%28SD+card%29+unless+encrypted+first,有增删改. Android提供了几种保存持久化应用数据的选择,当中之中的一个就是外部存储(/sdcard, /mnt/sdcard).外部存储包含设备内部的微型或标准大小的…

在 JavaEE 配置文件中,例如 XML 或者 properties 文件,由于某些敏感信息不希望普通人员看见,则可以采用加密的方式存储,程序读取后进行解密. 常见的如: 数据库用户密码,短信平台用户密码,系统间校验的固定密码等. 本工具类参考了 <Spring.3.x企业应用开发实战>一书 5.3节的实现. 完整代码与注释信息如下: package com.cncounter.util.comm; import java.security.Key; import java.security…

如何利用GitHub搜索敏感信息 背景: 最近总是能听到同事说在GitHub上搜到某个敏感信息,然后利用该信息成功的检测并发现某个漏洞,最后提交到对应的SRC(安全应急响应中心)换点money.顿时心里那个羡慕啊,然后就心说自己也要学会使用GitHub这个宝藏. 开始: 众所周知,作为安全人员,学会使用google hack是最基本的一项技能.那么什么是google hack呢?google hack其实就是一系列的命令语法,这些命令语法可以用来快速的搜索敏感网站,关键字等信息.比如使用:inu…

我们的项目中几乎都会有配置文件,里面可能会存储一些敏感信息,比如数据库连接字符串.第三方 API 的 AppKey 和 SecretKey 等. 对于开源项目,这些敏感信息肯定不能随着源代码一起提交到托管平台. 对于网站应用大多都是要部署到有公开 IP 的服务器上的,存有敏感信息的文件放在 Web 目录下也不安全. 较好的办法是把敏感信息文件存在项目以外的地方. 在.NET Core 中,我们可以使用 Secret Manager 工具来管理敏感信息,这个工具可以将敏感信息保存在一个 secre…

Web应用程序的敏感信息-隐藏目录和文件 0x1.场景 Web应用程序根文件夹中可能存在大量隐藏信息:源代码版本系统文件夹和文件(.git,.gitignore,.svn),项目配置文件(.npmrc,package.json,.htaccess),自定义配置文件使用config.json,config.yml,config.xml等常见扩展以及许多其他扩展. 资源可以分为几个常见类别: 源代码版本控制系统 IDE(集成开发环境)配置文件 项目和/或技术特定的配置和设置文件 1.1.GIT Gi…

需求: 需要将一些敏感信息保存在JWT中,以便提高业务处理效率. 众所周知JWT协议RFC7519使用Base64Url对Header和Payload的Json字符串进行编解码.A JWT is represented as a sequence of URL-safe parts separated by period ('.') characters. Each part contains a base64url-encoded value. 不幸地的是Base64Url编码方式不是加密手段…

之前的文章中详细介绍了各种解包路由器固件的工具.解包之后就获得了固件中的文件.下一步就是分析文件寻找漏洞了.这次分析的目标是Trendnet路由器,分析的漏洞是一个远程获取路由器权限的漏洞. 初步分析 通过路由器的登录界面得知路由器型号为Trendnet TEW-654TR,这对收集目标的信息是很有帮助的.通过官方介绍得知该路由器的一些特性.包括支持路由器,无线接入点,无线接入点客户端三种模式,支持NAT和有状态的包检查防御攻击以及有一个简单的web界面支持远程管理等.官网目前最新版固件为V1.…

在JavaScript文件中存储敏感数据,不仅是一种错误的实践方式,而且还是一种非常危险的行为,长期以来大家都知道这一点. 而原因也非常简单,我们可以假设你为你的用户动态生成了一个包含API密钥的JavaScript文件: apiCall= function(type, api_key, data) { ... } var api_key = '1391f6bd2f6fe8dcafb847e0615e5b29' var profileInfo = apiCall('getProfile', ap…

gitrob Ruby开发,支持通过postgresql数据库https://github.com/michenriksen/gitrob weakfilescan Python开发,多线程,猪猪侠开发中文注释,个性化定制,需要beautifulsoup4用于渗透人员在对网站进行网站渗透时查找敏感文件(配置文件.临时文件).敏感目录,会首先爬取目标站点的三层目录资源,生成目录FUZZ和文件FUZZhttps://github.com/ring04h/weakfilescan GitPrey Py…

在ASP.NET MVC项目中,使用AJAX向控制器发送GET请求获取JSON数据时,出现这个错误:"此请求已被阻止,因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站.若要允许 GET 请求,请将 JsonRequestBehavior 设置为 AllowGet". 其实从返回的这个错误信息我们已经可以知道解决方法了,看这个信息:”因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站“,说明我们只要使用POST请求就可以了.后面的 “若要允许 GET 请求,请将 Jso…

帝国cms发布信息时替换正文IMG图片标签里的ALT内容 在 e/class/userfun.php 里面增加 //替换正文IMG里的ALT内容 function user_imgalt($mid,$f,$isadd,$isq,$value,$cs){ $title=$_POST['title']; $htmls=$value; $pattern = "/<img[^>]+>/"; preg_match_all($pattern, $htmls, $matches);…

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息.Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据:此外,容器也可以环境变量的方式使用这些数据. Secret 可通过命令行或 YAML 创建.比如希望 Secret 中包含如下信息: 用…

之前仅知道svn权限配置不当,会导致敏感信息泄漏,但是一直不知道具体利用方式. 今天测试svn dig时抓包分析才知道: http://www.xxx.com/路径/.svn/text-base/文件名.svn-base 哈哈--…