一. 环境准备 测试通常给的是PDF文档,动辄几百页,看起来很费劲,看文档的时间可能比解决问题的时间还长...所以作为需要解决问题的我们来说,最好安装AppScan,请测试人员提供类型为AppScan Scan File的文件.(图片模糊掉了URL,不影响问题分析)  二. 如何分析AppScan扫描出的安全性问题AppScan扫描出的问题会一般按照严重程度分高,危,参三种类型,高危属于必须要解决的问题:低危一般属于config配置,或IIS配置问题:低的问题,一般也可能是高,低的衍生问题,高危…

什么是进程? 进程是指在系统中正在运行的一个应用程序. 每个进程之间是独立的,每个进程均运行在其专用且受保护的内存空间内. 什么是线程? 1个进程要想执行任务,必须得有线程(每1个进程至少要有1条线程). 线程是进程的基本执行单元,一个进程(程序)的所有任务都在线程中执行. 小拓展: - 线程的串行(就像烤串一样) - 1个线程中任务的执行是串行的. - 如果要在1个线程中执行多个任务,那么只能一个一个地按顺序执行这些任务. - 在`同一时间内`,1个线程只能执行1个任务. 什么是多线程? 1个…

一.基本使用1.创建和启动线程一个NSThread对象就代表一条线程 创建.启动线程NSThread *thread = [[NSThread alloc] initWithTarget:self selector:@selector(run) object:nil];[thread start];// 线程一启动,就会在线程thread中执行self的run方法 主线程相关用法+ (NSThread *)mainThread; // 获得主线程- (BOOL)isMainThread; //…

简介 恰当的使用多线程编程可以提供任务的执行效率和系统资源的利用率 多线程是为了提高资源利用率,和应用程序的响应速度,多个线程共享应用资源 每个应用程序都有一个主线程,通常用来做UI界面刷新等 比较耗时的任务如果放在主线程中,可能会造成主线程的堵塞,无法响应用户操作,通常为耗时任务创建自己的线程,与主线程并发执行 多线程编程在一定程度上提高了系统资源的利用率和任务处理速度,但是线程不易过多,否则会引发以下问题. 过多的线程会造成处理机的频繁调度,线程调度需要消耗大量的系统资源. 同一进程下的多个…

一.Servlet 1.sun提供的一种动态web资源开发技术.本质上就是一段java小程序.可以将Servlet加入到Servlet容器中运行. *Servlet容器 -- 能够运行Servlet的环境就叫做Servlet容器. --- tomcat *web容器 -- 能够运行web应用的环境就叫做web容器 --- tomcat 2. 写一个类实现sun公司定义的Servlet接口 将写好的类配置到tomcat中的web应用的web.xml中,(配置对外访问路径) 3.Servlet的调用…

简介 恰当的使用多线程编程可以提供任务的执行效率和系统资源的利用率 多线程是为了提高资源利用率,和应用程序的响应速度,多个线程共享应用资源 每个应用程序都有一个主线程,通常用来做UI界面刷新等 比较耗时的任务如果放在主线程中,可能会造成主线程的堵塞,无法响应用户操作,通常为耗时任务创建自己的线程,与主线程并发执行 多线程编程在一定程度上提高了系统资源的利用率和任务处理速度,但是线程不易过多,否则会引发以下问题. 过多的线程会造成处理机的频繁调度,线程调度需要消耗大量的系统资源. 同一进程下的多个…

1.我现在没有个人CA证书,使用.中信建投网上交易,是如何保障安全的呢? 如果您目前没有个人CA证书,使用.中信建投网上交易,系统其实也是用CA证书的RSA体系进行加密的. 您在输入账户和密码进行登录时,系统会使用网上交易服务器CA证书建立加密安全通道.您输入的账户号和密码,客户端使用对端服务器证书中的公钥进行非对称加密,然后将加密后的数据传输给网上交易服务器.由于只有网上交易服务 器拥有相应的私钥,来进行解密并提交委托,所以从根本上确保了交易信息的保密性和不可修改性. 交易者身份的确定和交易的…

移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商.金融.游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析, 整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁. 本移动 APP 安全行业报告将对金融.电商.游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌. 金融行业移动 APP安全 现状…

     一.前言      通常的http访问会遭到中间人攻击.网络嗅探等普通用户感知不到的恶意行为,这些行为会篡改用户浏览页面引导用户访问非法网站.抓取用户的上网行为以及个人信息.严重的会造成用户的个人资产损失.https由于采用了从用户端浏览器和网站服务端的证书加密认证机制,在信息的整个传输过程中都是以加密形式存在的,因而采用https可以解决http访问中所遭遇的中间人攻击.网络嗅探等问题.所以,目前大多数公司都将网站由http向https迁移,保护用户信息的安全.在进行https改造的…

https://www.lilu.org.cn/https://www.lilu.org.cn/ 第十二章:新的日期时间API 在Java 8之前,我们常用的日期时间API是java.util.Date和java.util.Calendar这两个类. 如果我们要构建一个指定年月日的日期时间对象,比如2019-9-2,使用java.util.Date类的构造方法Date(int year, int month, int date),传入的年份year参数必须是年份2019减去1900,即传入119…

文章很长,而且持续更新,建议收藏起来,慢慢读! 高并发 发烧友社群:疯狂创客圈(总入口) 奉上以下珍贵的学习资源: 疯狂创客圈 经典图书 : 极致经典 + 社群大片好评 < Java 高并发 三部曲 > 面试必备 + 大厂必备 + 涨薪必备 疯狂创客圈 经典图书 : <Netty Zookeeper Redis 高并发实战> 面试必备 + 大厂必备 +涨薪必备 免费领 疯狂创客圈 经典图书 : <SpringCloud.Nginx高并发核心编程> 面试必备 + 大厂必备…

1.SpringMVC是什么? 请说出你对它的理解? SpringMVC是Spring将Web层基于MVC封装后的框架. 在没有SpringMVC之前,Web层的Servlet负责的事情很多,很杂.  例如:接收请求,调用service层处理请求,封装返回结果,响应信息给浏览器.SpringMVC将Servlet负责的事情分门别类,进行具体的划分.  M-model: 封装数据  V-View: 封装视图  C-Controller: 处理器方法,用于接收请求 2.SpringMVC的加载流程是…

最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”. 扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数. 按其所给的建议,我做了如下修改:将password控件修改为textbox控件.使用js替换输入的内容.并将录入的结果录入到隐藏控件中提交时去隐藏控件的值. 修改后部署更新站点重新扫描并不能解决问题. 通过百度.bing等搜索工具找了一下两个解决方案: 1.站点登陆采用ssl方式 2.对登陆请求的…

asp.net MVC 常见安全问题及解决方案 一．CSRF (Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用) 详细说明: http://imroot.diandian.com/post/2010-11-21/40031442584   Example :            在登陆状态下进入了攻击网站向安全站点发送了请求.   Soluti…

这个问题,以前好像写过,不过现在这篇文章,有一个重现的过程,还是值得读一读的. URL:SimpleDateFormat的线程安全问题与解决方案…

一直以来都是直接用SimpleDateFormat开发的,没想着考虑线程安全的问题,特记录下来(摘抄的): 1.问题: 先来看一段可能引起错误的代码: package test.date; import java.text.ParseException; import java.text.SimpleDateFormat; import java.util.Date; import java.util.Locale; public class ProveNotSafe { static Simp…

目的 本文主要是分享iOS多线程的相关内容,为了更系统的讲解,将分为以下7个方面来展开描述. 多线程的基本概念 线程的状态与生命周期 多线程的四种解决方案:pthread,NSThread,GCD,NSOperation 线程安全问题 NSThread的使用 GCD的理解与使用 NSOperation的理解与使用 Demo在这里:WHMultiThreadDemo Demo的运行gif图如下: 一.多线程的基本概念 进程:可以理解成一个运行中的应用程序,是系统进行资源分配和调度的基本单位,是操作…

本文转自:http://www.cnblogs.com/Jessy/p/3539564.html asp.net MVC 常见安全问题及解决方案 一．CSRF (Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用) 详细说明: http://imroot.diandian.com/post/2010-11-21/40031442584   Examp…

摘要:我们就一起看下在高并发下SimpleDateFormat类为何会出现安全问题,以及如何解决SimpleDateFormat类的安全问题. 本文分享自华为云社区<SimpleDateFormat类的线程安全问题和解决方案>,作者: 冰 河. 首先问下大家:你使用的SimpleDateFormat类还安全吗?为什么说SimpleDateFormat类不是线程安全的?带着问题从本文中寻求答案. 提起SimpleDateFormat类,想必做过Java开发的童鞋都不会感到陌生.没错,它就是Jav…

1.弱口令漏洞   解决方案:最好使用至少6位的数字.字母及特殊字符组合作为密码.数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密.   2.未使用用户名及密码登录后台可直接输入后台URL登录系统.   解决方案:通过配置filter来过滤掉无效用户的连接请求.   3．JSP页面抛出的异常可能暴露程序信息.有经验的入侵者,可以从JSP程序的异常中获取很多信息,比如程序的部分架构.程序的物理路径.SQL注入爆出来的信息等.   解决…

例子题目: 创建10个线程,每个线程执行10000次加1,输出总和 正常结果100000  但是如果出现线程不安全会低于100000 import java.util.concurrent.CountDownLatch; /** * 解决多线程并发遇到的问题 例如:线程安全 主线程等待子线程处理完在执行 * * @author wangbing * @since 17 七月 2018 */ public class TreadSafe { //原子操作类 //static volatile At…

一.List 1.代码演示 public class ArrayListNotSafeDemo { public static void main(String[] args) { List<String> list = new ArrayList<>(); for (int i = 1; i <= 30; i++) { new Thread(() -> { //Constructs an empty list with an initial capacity of t…

SimpleDateFormat多线程中执行报错 java.lang.NumberFormatException: For input string: ""   import java.text.DateFormat; import java.text.ParseException; import java.text.SimpleDateFormat; import java.util.*; /** * @ClassName VarNotSafeDateFormat * @projec…

SimpleDateFormat 是 Java 中一个常用的类,该类用来对日期字符串进行解析和格式化输出,但如果使用不小心会导致非常微妙和难以调试的问题. 因为 DateFormat 和 SimpleDateFormat 类不都是线程安全的,在多线程环境下调用 format() 和 parse() 方法应该使用同步代码来避免问题,或者使用ThreadLocal, 也是将共享变量变为独享,线程独享肯定能比方法独享在并发环境中能减少不少创建对象的开销.如果对性能要求比较高的情况下,一般推荐使用这种方…

Web 应用的基础概念 在讨论 Web 应用安全之前,先简单介绍一下 Web 应用基础概念,这样便于理解为什么 Web 应用是脆弱的,容易受到攻击. 1. 什么是 Web 应用 Web 应用是由动态脚本.编译过的代码等组合而成.它通常架设在 Web 服务器上,用户在 Web 浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的 Web 应用交互,由 Web 应用和企业后台的数据库及其他动态内容通信. 2. Web 应用的架构 尽管不同的企业会有不同的 Web 环境搭建方式,一个典型…

IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以及如何防止您的 Web 站点和站点的访问者受到这些针对隐私和安全的恶意入侵. 在跨站脚本攻击中会发生什么 跨站脚本攻击(cross-site scripting,简称 XSS),是黑客用来潜入 Web 应用程序的最普遍的应用程序层攻击之一.XSS 是针对特殊 Web 站点的客户隐私的攻击,当客户详细…

下载:IBM® Rational® AppScan 标准版  |   Web 应用安全与 IBM Rational AppScan 工具包 获取免费的 Rational 软件工具包系列,下载更多的 Rational 软件试用版. 一. 前言 随着信息技术的高速发展,特别是 Internet 技术的飞速发展,越来越来和企业商业行为以及和我们日常生活工作相关的应用服务都需要依赖 Internet 这个信息平台来开展业务.我们在享受方便.快捷的信息化服务的同时,也面临着信息安全问题给我们带来的影响甚至…

1 当前 Web 安全现状 互联网的发展历史也可以说是攻击与防护不断交织发展的过程.目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物.银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度. 然 而,现实世界中,针对网站的攻击愈演愈烈,频频得手.CardSystems 是美国一家专门处理信用卡交易资料的厂商.该公司为万事达 (Master).维萨 (Visa) 和美国运通卡等主要信用卡组织提供数据外包服务,负责审核商家传来的…

前言 当今世界,Internet(因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便.快捷的服务支持.这些应用 在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视.由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的 攻击逐步转移到了对 Web 应用的攻击上.根据 Gartner 的最新调查,信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上.同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击…

启用不安全的HTTP方法解决方案 Web AppScan HTTP WebDAV 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅. 1.启用了不安全的HTTP方法 问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT. 响应头信息如下: HTTP/1.1 200…